ARTICLE 19 SECTION 4

TRANSFERTS INTERNATIONAUX

< Étude d'impact - N° 490 - Projet de loi relatif à la protection des données personnelles >

** 1. Etat des lieux et diagnostic**

1.1 Droit actuel concernant les transferts internationaux de données

La loi n°78-17 du 6 janvier 1978 a été modifiée par la loi n°2004-801 du 6 août 2004 pour mettre la législation française en conformité avec la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données qui ne s’applique pas en matière pénale129.

A cette occasion, le Parlement a notamment introduit les deux articles 68 et 69 qui disposent :

« Article 68. - Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat n'appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.

Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées. »

Article 69. - Toutefois, le responsable d'un traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues à l'article 68 si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l'une des conditions suivantes :

1° A la sauvegarde de la vie de cette personne ;

2° A la sauvegarde de l'intérêt public ;

3° Au respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice ;

4° A la consultation, dans des conditions régulières, d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;

5° A l'exécution d'un contrat entre le responsable du traitement et l'intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;

6° A la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers.

Il peut également être fait exception à l'interdiction prévue à l'article 68, par décision de la Commission nationale de l'informatique et des libertés ou, s'il s'agit d'un traitement mentionné au I ou au II de l'article 26, par décret en Conseil d'Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l'objet.

La Commission nationale de l'informatique et des libertés porte à la connaissance de la Commission des Communautés européennes et des autorités de contrôle des autres Etats membres de la Communauté européenne les décisions d'autorisation de transfert de données à caractère personnel qu'elle prend au titre de l'alinéa précédent. »

Par ailleurs, l’Union européenne a adopté un autre instruments relatif aux transferts de données, qui s’applique en matière pénale en l’espèce la décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale dont les restrictions ne s’appliquent qu’aux données qui proviennent d’autres Etats membres.

Outre la législation européenne et la loi française, les transferts internationaux sont régis par le décret n°2005-1309 du 20 octobre 2005 (modifié par le décret n°2007-451 du 25 mars 2007130) pris pour l’application de la loi susvisée

Les dispositions de ce décret relatives au transfert de données, mentionnées aux articles 91131 et 108132 précisent les obligations qui incombent aux responsables de traitements. Ces dispositions font référence à la liste des Etats établie par la Commission et considérée comme assurant un niveau adéquat de protection des données au regard de la directive 95/46/CE qui ne s’applique pas en matière pénale.

Le fait d’assurer un niveau de protection adéquat au regard de cette directive 95/46/CE ne semble pas permettre de conclure que la protection est adéquate pour les traitements et fichiers élaborés en matière pénale (et réciproquement). D’une part les règles de protection en matière commerciale et civile ne sont pas identiques aux règles applicables en matière pénale (les principes d’information et de correction des données, le traitement des données sensibles telles que les empreintes génétiques, la conservation en l’absence d’accord de la personne concernée, etc. sont fondamentalement différents. D’autre part, certains Etats peuvent ne pas garantir les mêmes droits dans le domaine commercial alors qu’ils peuvent les garantir pour les fichiers en matière pénale.

Le dernier alinéa de l’article 91 du décret dispose : « Lorsque le transfert est envisagé postérieurement à la collecte des données à caractère personnel, celui-ci ne peut intervenir que dans un délai de quinze jours suivant la réception par l'intéressé des informations ci-dessus ou, le cas échéant, au terme de la procédure visée à l'article 94. »

Par ailleurs, le guide relatif aux « transferts de données à caractère personnel vers des pays tiers à l’Union européenne » édité sur le site de la CNIL ne semble pas adapté aux transferts de données en matière pénale. Il souligne notamment que « Les personnes dont les données doivent être transférées doivent être informées de l’existence de ce transfert ; (Article 91 du décret 2007) ».

Enfin, dans son avis n° 372616 en date du 26 octobre 2006, le Conseil d’Etat a considéré que le transfert de données à caractère personnel dont le traitement a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ne relève pas de la catégorie des transferts nécessaires à la sauvegarde de l'intérêt public au sens du 2° de l'article 69 de la loi informatique et libertés133.

Or seul un très petit nombre d’Etats (environ une douzaine d’Etats134) n’appartenant pas à l’Union européenne ont été classés par l’Union européenne ou par la Commission Nationale de l’Informatique et des libertés comme ayant un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont des données personnelles. La plupart des Etats tiers (environ deux cent cinquante Etats) ne relèvent donc pas de cette catégorie.

1.2 Régime instauré par la directive 2016/680 du 27 avril 2016

La directive introduit un mécanisme permettant le transfert de données à caractère personnel d’une part à des autorités compétentes se trouvant dans d’autres Etats, d’autre part à des destinataires se trouvant dans d’autres Etats.

Le premier cas correspond à la traditionnelle coopération entre services des autorités judiciaires ou services en charge des enquêtes en charge de la prévention et de la détection des infractions pénales, des enquêtes et des poursuites en la matière ou en charge de l'exécution des sanctions pénales. Le second cas permet dans des situations particulières d’adresser directement des informations à caractère personnel à des destinataires situés dans d’autres Etats, aux mêmes fins (enquêtes et exécution des sanctions pénales). Ce second cas permet aux autorités compétentes d’adresser directement des demandes comprenant des informations à caractère personnelle à des services fournissant par exemple des services de communications électroniques délocalisés mais utilisés dans un Etat pour commettre des infractions (messages échangés entre des utilisateurs situés en France pour commettre des actes de terrorisme, pour transmettre des images ou vidéos pédopornographiques en utilisant des messageries électroniques situés à l’étranger).

Les transferts de données à caractère personnel sont traditionnellement effectués dans le cadre de commission rogatoire internationale ou des échanges entre service de police judiciaire permettant de solliciter une autorité judiciaire ou un services équivalent en charge des enquêtes en charge de la prévention et de la détection des infractions pénales dans un autre Etat. Il est bien évidemment nécessaire de communiquer certaines informations à caractère personnel pour que les autorités judiciaires étrangères ou les services de police judiciaire puissent enquêter. Ces demandes dites actives impliquent donc que des transferts de données personnelles soient effectués.

Par ailleurs, les autorités judiciaires comme les services de police judiciaire peuvent être sollicités par leurs homologues des autres Etats, généralement dans le cadre de conventions d’entraide judiciaire en matière pénale, de convention d’extradition ou de transfèrement, ou d’accords de sécurité intérieur pour coopérer en matière d’enquête ou d’exécution de sanctions pénales. Ces demandes dites passives (n’émanant pas de l’initiative d’autorités compétentes françaises) impliquent également le transfert de données à caractère personnel.

La directive prévoit que les autorités compétentes peuvent échanger de telles données dans quatre cas :

1°) Lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat (régime de l’article 36 de la directive) ;

2°) Lorsque des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant (régime de l’article 37 1° a) ; Cette situation sera rencontrée lorsque la convention d’entraide, d’extradition ou de transfèrement, ou l’accord de sécurité intérieur prévoit des dispositions juridiques contraignantes en matière de protection des données à caractère personnelle. Quelques conventions récentes prévoient de telles stipulations. Mais les conventions anciennes (la convention d’entraide judiciaire en matière pénale du Conseil de l’Europe par exemple) ne prévoient pas de protection.

3°) Lorsque le responsable du traitement a évalué toutes les circonstances du transfert et estime qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel (régime de l’article 37 1° b) ;

4°) En l'absence de décision d'adéquation ou de garanties appropriées lorsque le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne, à la sauvegarde des intérêts légitimes de la personne concernée lorsque le droit de l'État membre transférant les données à caractère personnel le prévoit, pour prévenir une menace grave et immédiate pour la sécurité publique d'un État membre ou d'un pays tiers, et dans un cas particulier, à la constatation, à l'exercice ou à la défense de droits en justice pour une enquête en matière pénale ou pour l’exécution d’une sanction pénale.

Par ailleurs, la directive prévoit que « les accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales qui ont été conclus par les États membres avant le 6 mai 2016 et qui respectent le droit de l'Union tel qu'il est applicable avant cette date restent en vigueur jusqu'à leur modification, leur remplacement ou leur révocation » (article 61 de la directive). Les conventions d’entraide, d’extradition ou de transfèrement, les accords de sécurité intérieure, adoptés antérieurement à l’adoption de la directive même s’ils ne comportent pas de stipulations spécifiques à la protection des données à caractère personnel étaient conforme au droit de l’Union européenne (à défaut de quoi ils n’auraient pas pu être signés et ratifiés, notamment en raison de la primauté du droit de l’union européenne). Ils restent donc en vigueur jusqu’à ce qu’ils soient remplacés ou révoqués.

La loi de transposition ne devrait pas avoir d’impact sur les transferts de données à caractère personnel effectués par les autorités judiciaires comme par les services de police judiciaire qui respectaient déjà d’une part les conventions applicables et d’autre part des principes constitutionnels plus élevés que le droit européen, les conventions internationales et la loi. Ainsi chaque fois que l’envoi d’une demande de coopération (commission rogatoire ou demande de renseignements adressée par un service de police judiciaire), ou l’envoi d’une réponse à une demande de coopération était susceptible de mettre ne cause des principes fondamentaux (application de la peine de mort, application de sanction(s) incompatible(s) avec le respect de la personne humaine, des garanties étaient exigées préalablement à l’envoi de la demande ou de la réponse. En outre, si quelques conventions anciennes ne comprennent pas de mention explicite du principe de spécialité (impossibilité d’utiliser les informations transmises dans un autre cadre que l’affaire pour laquelle les données personnelles ont été sollicitées) ou de confidentialité (impossibilité de transmettre les données à d’autres autorités que les autorités compétentes qui ont sollicité les données), toutes les conventions signées et ratifiées depuis une trentaine d’années comprennent ces deux principes.

Outre ces transferts entre autorités compétentes, la directive autorise des transferts qui n’étaient pas envisagés jusqu’à présent, à savoir des transferts d’une autorité compétente à des destinataires établis dans d’autres Etats. Il s’avère que de nombreuses infractions pénales sont commises par des criminels et des délinquants qui utilisent des services de transmission situé à l’extérieur des Etats où sont commises les infractions. C’est le cas notamment dans le domaine du terrorisme, des infractions en matière de diffusion d’images ou de vidéos pornographiques, en matière d’incitation à la haine ou à la xénophobie, de racisme, etc. S’il reste dans certains cas des frontières pour les personnes et les biens, les données échangées par des systèmes électroniques ne connaissent pas de frontières. Les enquêtes conduisent ainsi les autorités judiciaires ou les services de police à devoir identifier des criminels et des délinquants qui se cachent derrière des pseudonymes et utilisent des systèmes de messagerie électronique souvent situés dans d’autres Etats. Il est donc nécessaire de transmettre des données personnelles (adresse IP, pseudonymes, identifications des moyens de communication notamment adresse de messagerie) aux fournisseurs d’accès situés dans d’autres Etats. La directive permet de tels transferts dans un cadre très précis (article 39 de la directive) qui sera introduit à l’article 70-24 de la loi informatique et libertés. Il convient d’observer que la réponse effectuée par le destinataire situé à l’étranger et qui n’est pas une autorité compétente ne relève pas des dispositions de la directive mais d’autres dispositions : au sein des Etats membres de l’Union européenne, cette réponse relève du règlement, au sein des Etats non membres de l’Union européenne, la réponse relève des lois nationales de ces Etats.

** 2. Objectifs poursuivis et necessite de legiferer**

Il est nécessaire de transposer de façon exacte les dispositions des articles 35 à 39 de la directive, ce qui suppose d’insérer dans la loi de 1978, dans le nouveau chapitre XIII relatif aux traitements relevant de la directive, au sein d’une section consacrée aux transferts de données hors de France, des dispositions reprenant les articles précités de la directive, et dérogeant, pour ces traitements, aux actuels articles 68 à 70 de la loi

3. Options

3.1. OPTION 1 (ecartée) : Maintien du système actuel

Le système actuel ne semble pas compatible avec la directive qui prévoit un régime différent confiant la responsabilité des transferts au responsable de traitement.

Par ailleurs en matière pénale, le principe constitutionnel de séparation des pouvoirs rappelé par la directive135, le secret de l’enquête et de l’instruction semblent difficilement compatibles avec les formalités prévues par les deux derniers alinéas de l’article 69 de la loi informatique et libertés (pour les traitements mentionnés au I ou au II de l'article 26 de la loi informatique et libertés obligation d’un décret en Conseil d'Etat pris après avis motivé et publié de la CNIL et obligation de porter à la connaissance de la Commission des Communautés européennes et des autorités de contrôle des autres Etats membres de la Communauté européenne les décisions d'autorisation de transfert de données à caractère personnel).

La solution consistant à maintenir le système actuel n’a donc pas été retenue.

3.2. OPTION 2 (retenue) : Définition d’un nouveau régime strictement conforme aux articles 35 à 39 de la directive

Cette solution, qui présente l’avantage de simplifier le mécanisme d’entraide judiciaire tout en maintenant des garanties appropriées, a été retenue.

** 4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES**

L’impact juridique de cette disposition consiste dans l’insertion dans le nouveau chapitre XIII de la loi de 1978 de trois articles, les articles 70-25 à 70-27

** 5. CONSULTATION ET MODALITÉS D’APPLICATION**

La Commission nationale de l’informatique et des libertés a été consultée.

La réforme s’appliquera le 25 mai 2018, conformément à l’article 24 du projet de loi.

Ces dispositions seront applicables sur l’ensemble du territoire, hors les collectivités d’outre-mer soumises au principe de spécialité, pour lesquelles l’extension se fera par ordonnance.

< Étude d'impact - N° 490 - Projet de loi relatif à la protection des données personnelles >