Question de M. TRÉGOUËT René (Rhône - RPR) publiée le 05/07/2001

M. René Trégouët rappelle à l'attention de M. le ministre délégué chargé des affaires européennes les déclarations faites fin juin dernier par un responsable américain du commerce extérieur invitant l'Union européenne à rechercher une alternative au modèle de contrat récemment adopté par les Etats membres pour garantir l'intégrité des données informatiques personnelles envoyées vers des pays extérieurs. Les options permises par ce modèle sont selon lui trop limitées. Une telle invitation est-elle envisageable pour le gouvernement français ?

- page 2215


Réponse du ministère : Affaires européennes publiée le 09/08/2001

L'honorable parlementaire a bien voulu appelerl'attention du ministre délégué chargé des affaires européennes sur les déclarations faites en juin dernier par un responsable américain du commerce extérieur invitant l'Union européenne à rechercher une alternative au modèle de contrat récemment adopté par les Etats membres pour garantir l'intégrité des données informatiques personnelles envoyées vers des pays extérieurs, les options permises par ce modèle étant selon lui trop limitées. L'hypothèse d'une possible évolution de ce type de contrat doit être replacée dans le contexte de l'accord entre l'Union européenne et les Etats-Unis sur la question de la protection des données personnelles. La directive européenne 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données prévoit en effet un régime très protecteur des individus pour les données collectées, traitées et utilisées à l'intérieur de l'Union. Elle prévoit, en outre, le cas des transferts de données à caractère personnel collectées dans l'Union vers des pays tiers. Aux termes de l'article 25, le transfert ne peut avoir lieu que si " le pays tiers en question assure un niveau de protection adéquat " (qui n'implique d'ailleurs pas une protection " équivalente " à celle offerte par la directive aux transferts de données entre Etats membres de l'Union). Lorsque ce niveau de protection n'est pas atteint, la Commission peut alors engager des négociations avec lui en vue de remédier à la situation (art. 25-5). C'est en vertu de ces dispositions que la Commission a engagé une négociation avec les Etats-Unis. En effet, ceux-ci s'en remettent davantage à l'autorégulation du secteur pour la protection de la vie privée. Ce cadre juridique plus " laxiste ", dans le contexte de la société de l'information, a pu favoriser le développement d'un commerce lucratif, non toujours exempt de dérives : exploitation de fichiers de sécurité sociale par des compagnies d'assurance ; des fichiers de cartes de crédit (avec le détail des opérations) par des sociétés de marketing, etc. Cette dérive commerciale est fortement aggravée par le développement d'internet qui facilite le recoupement de fichiers et la construction de banques de données personnelles, à partir d'informations collectées sur la toile par de puissants moteurs de recherche. La Federal Trade Commission a d'ailleurs publié un rapport constatant l'insuffisance des mécanismes d'autorégulation en matière de protection de la vie privée sur internet et recommandant au Congrès l'élaboration d'une nouvelle législation plus protectrice. Afin de concilier leurs logiques juridiques contraires, l'Union européenne et les Etats-Unis se sont accordés en juin 2000 sur un mécanisme de " safe harbors " (zones sécurisées). Ce système prévoit l'édiction d'un code de conduite - sous forme de " principes de respect de la vie privée " - par le département américain du commerce. Les entreprises qui souscrivent à ce code, sur une base volontaire, sont enregistrées auprès d'un certain nombre d'organismes privés indépendants. Cet enregistrement vaut habilitation à traiter des données personnelles en provenance de l'Union européenne. L'ensemble du système est placé sous le contrôle de la Federal Trade Commission qui dispose de pouvoirs de sanction administrative et peut engager une action devant les tribunaux américains contre une entreprise qui n'aurait pas respecté ses engagements contractuels au titre des safe harbors. Ce mécanisme - auquel a adhéré récemment une société aussi importante que Microsoft - est désormais opérationnel. Les clauses contractuelles types auxquelles fait allusion le responsable américain du commerce cité par l'honorable parlementaire sont celles prévues à l'article 26-4 de la directive 95/46. Elles permettent les transferts de données interentreprises vers tout pays tiers n'offrant pas un niveau de protection adéquat. S'agissant des Etats-Unis, elles permettent les transferts de données vers des entreprises n'adhérant pas au système du safe harbor. Si des entreprises déplorent que les options permises par ce modèle sont très limitées, en réalité, rien ne les empêche d'adhérer à une plate-forme sécurisée.

- page 2599

Page mise à jour le