II. L'APPLICATION DU PROTOCOLE PAR LA FRANCE
La France se conforme d'ores et déjà aux obligations du protocole additionnel.
A. LA CNIL, AUTORITÉ DE CONTRÔLE DEPUIS 1978
Après la Suède et le Land allemand de Hesse, la France est, en 1978, l'un des premiers Etats à s'être doté d'une loi « informatique et libertés » et d'une autorité de contrôle indépendante, la Commission nationale « Informatique et libertés » (CNIL).
B. LES TRANSFERTS DE DONNÉES, UNE PROCÉDURE HARMONISÉE À L'ÉCHELLE EUROPÉENNE
Le niveau de protection des données personnelles dans l'Union européenne a été harmonisé par une directive du 24 octobre 1995. A ce jour, les 25 États membres disposent d'une loi «informatique et libertés» et d'une autorité de contrôle indépendante.
La directive communautaire a été transposée en droit français par la loi 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
Cette loi a accru les pouvoirs de la CNIL afin de lui permettre d'assurer un contrôle a posteriori efficace de la mise en oeuvre des fichiers et des traitements informatisés. Ses pouvoirs d'investigation ont été rendus contraignants et ses pouvoirs d`intervention et de sanction, étendus. La loi traite également des transferts de données en direction d'Etats n'appartenant pas à l'Union européenne en prévoyant, dans son article 68, que ces transferts ne peuvent s'effectuer que si l'Etat « assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux de la personne à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet ».
La Commission européenne a le pouvoir de reconnaître qu'un pays accorde une protection adéquate ou suffisante, dans une décision spécifique appelée « décision d'adéquation ».
En fonction de ces décisions, la CNIL distingue ainsi :
- les « pays équivalents », dont la législation offre le même degré de protection que la législation française et vers lesquels le transfert de données ne doit pas faire l'objet de formalités spécifiques (UE-25 et Etats membres de l'Espace économique européen : Islande, Liechtenstein et Norvège);
- les pays tiers qui offrent un niveau de protection « adéquat » vers lesquels le transfert de données ne fait pas l'objet d'un encadrement spécifique (ils sont peu nombreux : Argentine, Canada, Suisse et entreprises américaines ayant adhéré au « Safe Harbor 1 ( * ) » ou sphère de sécurité, un système de certification négocié entre la Commission européenne et le ministère du commerce);
- les pays dont le niveau de protection n'est pas adéquat et en direction desquels les transferts sont en principe proscrits.
Le site Internet de la CNIL fournit la classification de l'ensemble des Etats dans ces trois catégories. Il faut noter que parmi les pays « non-adéquats » figurent des Etats ayant ratifié le Protocole additionnel comme l'Albanie, la Bosnie-Herzégovine, la Croatie ou encore la Roumanie.
La CNIL peut néanmoins autoriser un transfert vers un pays tiers ne disposant pas d'un niveau de protection adéquat lorsque « le traitement garantit un niveau de protection suffisant en raison des clauses contractuelles ou règles internes dont il fait l'objet ». Elle en informe la Commission européenne qui a défini des clauses contractuelles types permettant de sécuriser le transfert sur le plan juridique. Dans les cas où le traitement des données est mis en oeuvre pour le compte de l'Etat, une autorisation de transfert ne peut être donnée que par décret en Conseil d'Etat après avis motivé et publié de la CNIL.
D'autres dérogations sont possibles dans les cas suivants :
- la personne concernée a consenti au transfert ou
- le transfert est nécessaire à la sauvegarde de la vie de la personne, à la sauvegarde de l'intérêt public, au respect d'obligations permettant d'assurer l'exercice d'un droit en justice, à la consultation d'un registre public, à l'exécution d'un contrat ou à sa conclusion.
Le non-respect de ces règles est soumis à des sanctions pénales : les transferts non-autorisés sont passibles de cinq ans d'emprisonnement et de 300 000 euros d'amende, autant que pour le traitement illégal de données.
* 1 Le Safe Harbor est une démarche volontaire d'entreprises établies aux Etats-Unis qui s'auto-certifient en adhérant à une série de principes de protection des données personnelles et de protection de la vie privée, publiés par le ministère du commerce des Etats-Unis. Ces principes, négociés par la Commission européenne avec le ministère du Commerce sont relatifs à l'information des personnes, à la possibilité de s'opposer à un transfert à des tiers ou à une utilisation des données pour des finalités différentes, au consentement explicite pour les données sensibles, au droit d'accès..., principes très proches de ceux de la directive communautaire.