L'échange de fichiers de données personnelles avec des partenaires hors Union Européenne

Le transfert de données à caractère personnel à l’étranger, et surtout hors Union Européenne, fait l’objet d’un encadrement strict, destiné à garantir la sauvegarde des droits des personnes physiques concernées.  

Différentes démarches doivent être mises en place par les entreprises.  

La directive du 24 octobre 1995 et la loi Informatique et Libertés du 6 janvier 1978,  prévoient que des données à caractère personnel ne peuvent être transférées vers un État n’appartenant pas à la Communauté européenne que si cet État assure un niveau de protection adéquat et suffisant de la vie privée, des libertés et des droits fondamentaux des personnes concernées par ces données.  

Au regard de cette prescription légale, il est donc nécessaire de se pencher sur le degré de protection conféré aux données à caractère personnel faisant l’objet du traitement visé par l’entreprise.  

Il convient de déterminer, au terme des décisions 2000/518/EC du 26 juillet 2000 et C(2003)1731 du 30 juin 2003, si les pays visés offrent une protection adéquate des données à caractère personnel.  

Dans l’affirmative, une simple information de la CNIL quant à l’existence de ces transferts est suffisante, à l’exclusion de toute autre formalité.  

Cette information relative au transfert de données se réalisera par l’envoi, en annexe de la déclaration, d’un document pré-rempli fourni par la CNIL.  

Dans la négative, en l’absence de toute décision de la Commission Européenne en ce sens, on considère que le pays visé ne répond pas au critère de « protection adéquate » conditionnant le libre transfert de données à caractère personnel hors de l’Union Européenne.  

Toutefois, la loi du 6 janvier 1978 prévoit que la CNIL peut autoriser un tel transfert lorsque « le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet ».  

Les clauses contractuelles, tout d’abord, sont susceptibles d’assurer le niveau de protection requis, en dépit de l’absence de décision reconnaissant au pays concerné un niveau de protection adéquate.  

C’est à cette fin que la Commission européenne, par trois décisions des 15 juin 2001 (décision n°2001/497/CE), 27 décembre 2001 (décision n°2002/16/CE) et 27 décembre 2004 (décision n°2004/915/CE), est venue proposer différents modèles de clauses contractuelles types, à l’égard de destinataires installés hors Union Européenne, lorsqu’ils peuvent être qualifiés de responsables de traitement.  

Dès lors que l’un de ces modèles est utilisé, la CNIL doit automatiquement reconnaître qu’un tel transfert de données s’effectue dans des conditions satisfaisantes au regard des droits des personnes concernées.  

La mise en œuvre de règles internes peut également être envisagée pour garantir un niveau de protection suffisant aux libertés et droits fondamentaux des personnes, conformément à ce que prévoit la loi Informatique et Libertés lorsque le pays dans lequel s’effectue le transfert d’informations ne dispose pas d’une protection adéquate.