Le transfert des données personnelles des mineurs

Les progrès technologiques des réseaux de télécommunication, permettent aux données personnelles de passer les frontières avec une grande facilité. Cette facilité a pour conséquence que les données concernant les citoyens d’un Etat membre sont souvent exploitées dans d’autres Etats membres de l’EU. Le flux d’échanges des données personnelles entre les Etats membres allant croissant, une réglementation concernant les transferts de données s’est avérée indispensable¹⁶⁵.

Les législations nationales relatives à la protection des données exigeaient jusqu’alors une “bonne gestion“ des données de la part des organes gérant les données : les responsables de fichiers. Ces derniers ont l’obligation de gérer les données loyalement, dans des conditions sûres, et de les utiliser à des fins explicites et légitimes. Les législations nationales ont aussi garanti une série de droits aux personnes, tel le droit d’être informé lorsque des données personnelles sont traitées et de s’en voir communiquer la raison, le droit d’accéder aux données et, le cas échéant le droit de faire modifier ou supprimer ces données.

Bien que les législations nationales relatives à la protection des données visent à garantir les mêmes droits, certaines différences ont subsisté en pratique. Ces différences pouvaient potentiellement créer des obstacles à la libre circulation de l’information et constituer des fardeaux supplémentaires pour les opérateurs économiques et les citoyens tributaires de la circulation des données personnelles.

164 IPR Helpdesk (financé par la Commission européenne, DG entreprises et industrielles sous le sixième programme cadre de RDT de l’Union Européenne), La protection des données à caractère personnel dans le cadre du commerce électronique. http://www.ipr-helpdesk.org/docs.FR/personalData.html#N1004B

165 Protection des données dans l’Union Européenne, Europe direct, Dialogue avec les citoyens et les entreprises, p.3 http://europa.eu.int/comm/justice_home/fsj/privacy/guide/index_fr.htm

63 Les opérateurs avaient l’obligation de s’enregistrer ou d’être autorisés à gérer des données par des autorités de surveillance dans plusieurs États membres. Ces conditions répondaient à la nécessité de se conformer à des normes différentes, la possibilité d’être interdit de transfert de données vers d’autres États membres de l’Union européenne. Il existait même des hypothèses ou, certains Etats étaient dépourvus de législation en la matière. Pour toutes ces raisons, il était nécessaire de réguler cette question à l’échelle européenne, et les directives CE se sont inscrites dans cette perspective¹⁶⁶.

La collecte des données personnelles n’est pas un but en soi. Il ne s’agit pas simplement de constituer des bases de données. Le fait que ces données soient collectées dans le but d’être utilisées est une évidence qui de surcroît est légale. Le problème de la légalité et de la légitimité de ces collectes se pose à partir du moment où la finalité de cette utilisation n’est pas en adéquation avec celle qui avait été préalablement annoncée aux personnes concernées par la collecte des données. La question de la légitimité ou de la légalité est plus cruciale lorsque les titulaires des données n’ont pas été préalablement informés de la collecte de leurs données et donc inévitablement de l’utilisation de ces données.

2-a. Le transfert des données personnelles du mineur au sein de l’Union

Européenne.

La cession nationale ou intracommunautaire. La protection accordée par la loi de 1978 ne s’applique qu’aux cas de cessions de fichiers sur le territoire français. Au sein de l’Union Européenne c’est la directive du 24 octobre 1995 qui s’applique.

2.a′. Le système de la loi informatique et liberté du 6 janvier 1978.

Le transfert et la cession de données personnelles sont autorisés en France par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après Loi 1978 ou Loi Informatique et Libertés). Elle vise la protection des données personnelles face à l’informatisation grandissante de l’administration, mais aussi des entreprises privées. Elle vise aussi bien le secteur public que privé (article 14 Loi 1978) : le premier est soumis à un avis

64 préalable (article 15 Loi 1978) alors que le second doit simplement déclarer ses intentions (article 16 Loi 1978) à la Commission Nationale de l’Informatique et des Libertés (CNIL)¹⁶⁷. Selon le système instauré par cette loi, à l’occasion de la déclaration faite auprès de la CNIL, il doit être précisé si les données sont destinées à être transférées à l’étranger. Si c’est le cas, l’article 24 de la loi stipule que ce transfert peut être soumis à une autorisation préalable¹⁶⁸.

La déclaration auprès de la Commission liberté consiste à établir l’engagement selon lequel le traitement satisfait aux exigences de la loi¹⁶⁹ ; la déclaration peut être faite par voie électronique. La CNIL délivre en retour un récépissé, le cas échéant par voie électronique. Dès réception du récépissé le traitement peut être mis en œuvre, mais sans aucune clause exonératoire de responsabilité.

Pour satisfaire aux exigences de la loi et faire l’objet d’une déclaration simplifiée, le traitement doit respecter les éléments suivants :

- Les finalités des traitements faisant l'objet de la déclaration.

- Les données à caractère personnel ou catégories de données à caractère personnel traitées.

- La ou les catégories de personnes concernées.

- Les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées.

- La durée de conservation des données à caractère personnel¹⁷⁰.

Sauf à respecter les exigences de la loi, le transfert de données ne pose pas de réels problèmes sur le plan national qui ne puissent être résolus par le droit commun. La question des flux ne peut pas se cantonner dans la réalité des faits à une dimension nationale, Internet étant un outil transfrontalier. La CNIL avait commencé à proposer des solutions au cas par cas, pour les transferts de données en dehors des frontières françaises.

167 Cynthia CHASSIGNEUX, La protection des données personnelles en France, Lex Electronica, vol. 6, n°2, hiver 2001 http://www.lex-electronica.org/articles/v6-2/chassigneux.htm

168

Erika Orengo, La protection des personnes dans le cadre des flux transfrontières de données personnelles, DESS Droit de l’informatique et du multimédia sous la direction de J. Huet, 2001-2002, p.2

169 Article 23 loi informatique et libertés,modifié par Loi n°2004-801 du 6 août 2004 art. 4 (JORF 7 août 2004). 170 Article 24 de la loi 1978 modifié par Loi n°2004-801 du 6 août 2004 art.4 (JORF 7 août 2004)

65 C’est ainsi que, dans sa délibération « Fiat France n°89-18 du 11 juillet 1989¹⁷¹, la CNIL exige la conclusion d’un contrat de protection de données entre l’expéditeur et le destinataire, lorsque celui-ci est situé dans un pays n’offrant pas un niveau de protection adéquat équivalent à la loi de 1978¹⁷². Le droit européen n’ayant pas encore régi ce point entre les membres de la Communauté, les Etats par le biais de leurs organismes de protection des données devaient procéder au cas par cas.

Sur les flux transfrontaliers de données personnelles, le droit international public est limité. La communauté européenne a donc souhaité harmoniser le droit de ses Etats membres afin que la libre circulation des données personnelles dans le cadre du Marché commun ne connaisse pas d’entrave.

2.a″. Le système de la directive du 24 octobre 1995¹⁷³.

La directive a mis en place au sein de l’Union Européenne un dispositif permettant que les données puissent librement circuler en son sein. Ce dispositif se situe dans la logique de la libre circulation des biens et services telle que posée par la directive 95/46/CE. La directive est basée sur les mêmes principes que la loi française du 6 janvier 1978. Elle a vocation à s’appliquer sur le territoire de l’Union européenne. Les flux transfrontaliers de données personnelles contribuent au développement économique et social. Dès lors, la liberté de circulation de l’information entre pays membres doit être développée : en conséquence doivent être évités les obstacles injustifiés à ce développement¹⁷⁴.

Les données personnelles sont des biens informationnels ayant une valeur marchande. Elles doivent pouvoir circuler librement sur le territoire de l’Union dans le cadre d’un marché unique, afin d’éviter des disparités économiques et concurrentielles. Dans cette dynamique, les pays membres de la Communauté européenne se devaient de résoudre le problème posé par la disparité existant entre les législations nationales. Dans un premier temps, ils ont adhéré

171

Lors de la délibération du 11 juillet 1989, la CNIL s`est prononcée sur la transmission d`information relatives à la gestion du personnel entre la France et l`Italie, par la société Fiat. L`Italie ne disposant d`aucune législation appropriée, la CNIL a demandé à la société Turin de s`engager contractuellement avec la société Fiat-France à respecter les dispositions de la loi française et de la Convention du Conseil de l`Europe.

172 Erika Orengo, La protection des personnes dans le cadre des flux transfrontières de données personnelles, DESS Droit de l’informatique et du multimédia sous la direction de J. Huet, 2001-2002, p.2-3.

173 Texte publié au Journal officiel des Communautés européennes n° L 281 du 23/11/1995 p. 0031 – 005. 174Les Lignes directrices de l'OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel, adoptées le 23 septembre 1980.

66 à la Convention 108 du 28 janvier 1981 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Ce texte, de même que les lignes directrices du 23 septembre 1980 de l’OCDE inspireront la directive de 1995.

En l’état actuel du droit, le transfert de données personnelles ne pose pas au sein de l’Union européenne de problèmes juridiques majeurs. Même si la transposition dans certains pays membres dont la France ne s’est faite qu’assez tardivement¹⁷⁵, les internautes pouvaient se prévaloir devant leurs juridictions nationales de la directive 95/46/CE non encore transposée.

La Convention 108 du Conseil de l’Europe du 28 janvier 1981 énonce en son chapitre III que, les parties ne peuvent pas, aux seules fins de la protection de la vie privée, interdire ou soumettre à une autorisation spéciale les flux transfrontières de données à caractère personnel à destination du territoire d’une autre partie ; des dérogations sont cependant prévues¹⁷⁶.