6. FLUX TRANSFRONTALIERS DE DONNÉES
6.3. Libre circulation des données vers des pays tiers
Points clés
• Le transfert de données à caractère personnel vers des pays tiers est exempt de toutes restrictions en vertu du droit national en matière de protection des données si :
• l’adéquation de la protection des données sur le territoire du destinataire a été établie ; ou
• cela est nécessaire dans les intérêts spécifiques de la personne concernée ou les intérêts légitimes prépondérants de tiers, en particulier des intérêts publics importants.
• L’adéquation de la protection des données dans un pays tiers signifie que les principes majeurs de la protection des données soient effectivement mis en œuvre dans le droit interne de ce pays.
• Dans le droit de l’UE, l’adéquation de la protection des données dans un pays tiers est appréciée par la Commission européenne. Dans le droit du CdE, il appartient au législa-teur interne de définir et d’apprécier l’adéquation.
6.3.1. Libre circulation des données en raison d’une protection adéquate
Le droit du CdE permet au droit interne d’autoriser la libre circulation de données vers des États non contractants si l’État ou l’organisation destinataire assure un niveau adéquat de protection pour le transfert de données envisagé222. Le législa-teur interne décide de l’appréciation du niveau de protection des données dans un pays étranger et désigne la personne chargée de cette appréciation.
Dans le droit de l’UE, la libre circulation des données vers des pays tiers offrant un niveau adéquat de protection des données est prévue à l’article 25, paragraphe 1, de la directive relative à la protection des données. L’exigence d’adéquation, plutôt que d’équivalence, permet de satisfaire différents modes de mise en œuvre de la protection des données. Conformément à l’article 25, paragraphe 6, de la directive, la Commission européenne est compétente pour apprécier le niveau de protection dans des pays étrangers par la voie d’attestations du niveau adéquat de la protec-tion et de consultaprotec-tions sur l’appréciaprotec-tion avec le groupe de travail Article 29 qui a contribué de façon majeure à l’interprétation des articles 25 et 26223.
Une attestation de niveau adéquat de la protection délivrée par la Commission euro-péenne a force obligatoire. Si la Commission euroeuro-péenne publie une attestation de niveau adéquat de la protection pour un certain pays au Journal officiel de l’Union européenne, tous les pays membres de l’EEE et leurs organes sont tenus de suivre la décision, ce qui signifie que les données peuvent circuler vers ce pays sans procé-dures de vérification ou d’autorisation devant des autorités nationales224.
La Commission européenne peut également évaluer certaines parties du système juridique d’un pays ou se limiter à des sujets particuliers. Par exemple, la Commis-sion a attesté du niveau adéquat de protection pour le seul droit commercial privé
222 Convention 108, protocole additionnel, art. 2, para. 1.
223 Voir, par exemple, groupe de travail Article 29 (2003), Document de travail : Transferts de données personnelles vers des pays tiers : Application de l’article 26 (2) de la directive de l’UE relative à la protection des données et aux règles d’entreprise contraignantes applicables aux transferts internationaux de données, WP 74, Bruxelles, 3 juin 2003 ; et groupe de travail Article 29 (2005), Document de travail relatif à une interprétation commune des dispositions de l’article 26, paragraphe 1, de la directive 95/46/CE du 24 octobre 1995, WP 114, Bruxelles, 25 novembre 2005.
224 Une liste actualisée des pays ayant reçu une attestation de niveau adéquat de la protection est disponible en anglais sur le site Internet de la Commission européenne, direction générale de la Justice, à l’adresse : http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/
index_en.htm.
du Canada225. Il existe également plusieurs attestations de niveau adéquat de pro-tection pour des transferts basés sur des accords entre l’UE et des pays étrangers.
Ces décisions portent exclusivement sur un type spécifique de transfert de données, tel que la transmission de dossiers passagers par des compagnies aériennes à des autorités étrangères de contrôle aux frontières lorsque la compagnie aérienne vole depuis l’UE vers certaines destinations étrangères (voir Section 6.4.3). Une pratique plus récente de transfert de données basée sur des accords spéciaux entre l’UE et des pays tiers abandonne généralement les attestations de niveau adéquat de pro-tection, supposant que l’accord lui-même offre un niveau de protection adéquat des données226.
L’une des décisions les plus importantes en matière d’adéquation ne porte en réalité par sur un ensemble de dispositions légales227. Elle concerne plutôt des règles, telles qu’un code de conduite, appelées principes de la « sphère de sécurité » relatifs à la protection de la vie privée. Ces principes ont été élaborés entre l’Union européenne et les États-Unis pour les sociétés commerciales américaines. L’adhésion à ces prin-cipes est obtenue par un engagement volontaire proclamé devant le ministère amé-ricain du Commerce et documenté dans une liste publiée par ce ministère. Dans la mesure où l’un des éléments importants de l’adéquation est l’efficacité de la mise en œuvre de la protection des données, l’accord sur les principes de la sphère de sécurité prévoit également un certain contrôle par l’État : seules peuvent adhérer aux principes les sociétés qui sont soumises au contrôle de la Federal Trade Commis-sion américaine.
225 Commission européenne (2002), décision 2002/2/CE du 20 décembre 2001 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la loi canadienne sur la protection des renseignements personnels et les documents électroniques, JO 2002 L 2.
226 Par exemple, l’accord entre les États-Unis d’Amérique et l’Union européenne sur l’utilisation des données des dossiers passagers et leur transfert au ministère américain de la sécurité intérieure, JO 2012 L 215, p. 5–14 ou l’accord entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le transfert de données de messagerie financière de l’Union européenne aux États-Unis aux fins du programme de surveillance du financement du terrorisme, JO 2010 L 8, p. 11–16.
227 Commission européenne (2000), décision 2000/520/CE de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du Commerce des États-Unis d’Amérique, JO 2000 L 215.
6.3.2. Libre circulation des données dans des cas particuliers
Dans le droit du CdE, l’article 2, paragraphe 2, du protocole additionnel à la Conven-tion 108 permet le transfert de données à caractère personnel à des pays tiers ne disposant pas de protection adéquate des données dès lors que le transfert est prévu par le droit national et qu’il est nécessaire pour :
• les intérêts spécifiques de la personne concernée ; ou
• les intérêts légitimes prépondérants de tiers, en particulier des intérêts publics importants.
Dans le droit de l’UE, l’article 26, paragraphe 1, de la directive relative à la protection des données contient des dispositions similaires à celles du protocole additionnel à la Convention 108.
Conformément à la directive, les intérêts des personnes concernées peuvent justi-fier la libre circulation de données vers un pays tiers si :
• la personne concernée a donné son consentement de manière non équivoque à l’exportation des données ;
• la personne concernée conclut (ou s’apprête à conclure) un contrat nécessitant clairement que les données soient transférées à un destinataire à l’étranger ;
• un contrat entre un responsable du traitement et un tiers a été conclu dans l’in-térêt de la personne concernée ;
• le transfert est nécessaire pour protéger l’intérêt vital de la personne concernée ; ou
• pour le transfert de données depuis des registres publics ; il s’agit d’un exemple d’intérêts prépondérants du grand public de pouvoir accéder à des informations conservées dans des registres publics.
Les intérêts légitimes de tiers peuvent justifier le flux transfrontalier de données228 :
228 Directive relative à la protection des données, art. 26, para. 1, point d).
• en raison d’un intérêt public important, autre que des affaires de sécurité natio-nale ou publique, puisque celles-ci ne sont pas couvertes par la directive relative à la protection des données ; ou
• pour la constatation, l’exercice ou la défense d’un droit en justice.
Les affaires susvisées doivent être comprises comme des exceptions à la règle selon laquelle le transfert désinhibé de données vers d’autres pays nécessite un niveau de protection adéquat des données dans le pays destinataire. Les exceptions doivent toujours être interprétées de façon restrictive. C’est ce que le groupe de travail Article 29 a régulièrement souligné dans le contexte de l’article 26, paragraphe 1, de la directive relative à la protection des données, en particulier si le consentement est présenté comme la base du transfert de données229. Le groupe de travail Article 29 a conclu que les règles générales relatives à la signification légale du consentement s’appliquaient aussi à l’article 26, paragraphe 1, de la directive. Si, dans le contexte de rapports de travail, par exemple, on ne peut dire avec certitude si le consente-ment donné par le salarié était véritableconsente-ment un consenteconsente-ment libre, des transferts de données ne peuvent être fondés sur l’article 26, paragraphe 1, point a), de la directive. Dans de telles situations, l’article 26, paragraphe 2, qui impose aux autori-tés nationales de protection des données de délivrer une autorisation aux transferts de données, trouve application.