Quels recours contre le traitement à l’étranger de données à caractère personnel ?
| Rédigé par Jean-Claude Streicher le Mardi 24 mars 2009 |
Les traitements à l’étranger de données à caractère personnel sont de plus en plus courants. Quels sont alors les recours possibles en cas de mésusage, de divulgation ou de perte de ces données ?
La loi française Informatique et liberté modifiée du 6 août 2004 a bien encadré le traitement des données à caractère personnel en France, mais a également réglementé leur traitement offshore. « Pour prendre des garanties et éviter de tomber dans le vide juridique », elle oblige le traiteur (ou responsable du traitement) à demander l’autorisation à la Cnil de transférer le traitement et l’hébergement dans d’autres pays. Le traiteur doit alors donner son identité, indiquer la finalité du traitement, décrire les moyens employés et préciser la catégorie des données traitées. Ce traitement inclut explicitement les opérations de collecte, d’enregistrement, de croisement, de mise en place de fichiers et de conservation.
L’identification de l’ordonnateur du traitement, sa localisation géographique ne sont pas essentielles. « Mais bien celle du responsable du traitement, souligne Sophie Nerbonne, directrice adjointe des affaires juridiques à la Cnil. C’est lui que la loi retiendra comme responsable juridique. En cas de litige, le juge saisi sera français et le contentieux sera jugé en France. »
Mêmes obligations pour les traiteurs établis à l’étranger et ayant recours à des moyens de traitement situés, même partiellement, en France. Ils devront désigner un responsable des traitements en France et communiquer son identité à la Cnil. Tout ressortissant français pourra alors exercer son droit d’accès aux données à caractère personnel le concernant. Il pourra obtenir le droit de les modifier si elles sont inexactes et de les effacer si elles sont conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, ou si elles contraires à la législation française (données à caractère ethnique, religieux, philosophique, politique ou syndical).
Mais la juridiction anglo-saxonne dite de « safe harbour » (le port d’attache contractuel) donne également la possibilité aux traiteurs de désigner un responsable du traitement dans leur pays d’origine. Ceux-ci peuvent aussi prendre un juge d’un pays tiers comme point de rattachement. Dans ces deux cas, c’est donc la législation du pays de « safe harbour » (Californie, Canada, par exemple) ou de ce juge qui s’applique. Ce qui ne simplifie évidemment pas les recours éventuels, bien que les réglementations de « safe harbour » électronique tendent à se rapprocher des réglementations françaises et européennes de protection des données à caractère personnel.
On observe aussi que les grandes sociétés internationales « traiteuses », plutôt que de s’en remettre à des législations disparates, préfèrent de plus en plus définir un corpus de règles interne de protection des données à caractère personnel, qu’elles suivront partout de la même manière. Ce qui offre sans doute plus de garanties.
Reste la question de la collecte de données par les moteurs de recherche et les systèmes collaboratifs en vue d’un traitement de plus en plus distribué (cloud computing). Elle occupe le G27, le groupe des 27 « Cnil » de l’Union européenne. « Cette agrégation, indique Sophie Nerbonne, peut donner lieu à des fiches de profil extrêmement détaillées et conservées sans limitation de durée. » Le G27 a donc pour le moins demandé que cette durée ne dépasse pas six mois.
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=20090316
Nous sommes désolés, les commentaires pour cet article sont fermés.
