Des fichiers nominatifs français circulent en Inde, ou en Afrique du Nord.
Si les traitements qu'ils subissent avaient lieu dans le cadre du G29, il y aurait une protection européenne, et notamment de l'équivalent de la CNIL (qui est une AAI).
Mais qu'en est-il hors du G29 ? Qui "contrôle" les traitements effectués sur ces données nominatives ?
c'est la délibération n° 2009-474 du 23 juillet 2009 de la CNIL portant recommandation en matière de transfert de données à caractère personnel dans le cadre de procédures judiciaires américaines dite de « Discovery » qui nous la donne (23 Juillet 2009 - Thème(s) : Données sensibles, Justice, JORF n°0190 du 19 août 2009 page texte n° 27, NOR: CNIA0900018X) :
"
9. Formalités relatives aux transferts de données à caractère personnel vers les États-Unis
Les transferts de données à caractère personnel doivent s'opérer conformément aux dispositions spécifiques de la loi du 6 janvier 1978 modifiée relatives aux transferts internationaux de données, et notamment ses articles 68 et 69. Sur ce point, il convient de rappeler que les Etats-Unis ne disposent pas d'un niveau de protection adéquat en matière de protection des données à caractère personnel, au sens de la directive européenne du 24 octobre 1995.
.
Deux cas doivent être distingués :
1. L'hypothèse où les données personnelles sont en France et directement transférées aux États-Unis pour des finalités contentieuses :
S'agissant d'un transfert unique et non-massif d'informations pertinentes, l'exception de l'article 69-3° peut être utilisée pour justifier le transfert de données personnelles à des fins de constatation, sauvegarde ou défense d'un droit en justice pour le responsable de traitement. Dès lors que ce transfert est encadré par l'exception visée à l'article précédemment visé, il ne doit pas faire l'objet d'une autorisation de la CNIL, mais doit néanmoins être déclaré.
Lorsqu'il s'agit de transferts massifs et répétés, le transfert de données personnelles peut avoir lieu :
* lorsque le destinataire des données personnelles est une entité établie aux Etats-Unis et qui a auto-adhéré aux principes du Safe Harbor ;
* lorsque le destinataire des données personnelles a signé des clauses contractuelles types adoptées par la Commission européenne avec le responsable de traitement en France ;
* lorsque le destinataire des données personnelles a mis en place des règles internes contraignantes (ou « Binding Corporate Rules ») au sein de son groupe.
2. L'hypothèse où les données personnelles ont déjà été transférées sur le territoire américain ou sur un territoire n'offrant pas de protection adéquate pour une finalité légitime et préalablement autorisée (ex. : centralisation de la base de données des ressources humaines de la filiale française d'un groupe américain) :
Lorsque les données font l'objet d'un transfert ultérieur vers une autorité judiciaire, le responsable de traitement devra apporter une protection adéquate aux données communiquées aux autorités américaines et à la partie adverse par la mise en œuvre d'outils d'encadrement appropriés tels que la définition d'un « stipulative court order » prenant en compte la protection des données personnelles.
Lorsque les données font l'objet d'un transfert ultérieur vers une partie au procès ou vers des tiers, il conviendra alors de prévoir la conclusion de clauses contractuelles appropriées avec la partie recevant communication des informations, ou le cas échéant l'engagement de la partie de respecter les principes portant sur les transferts ultérieurs tels que prévus dans l'accord Safe Harbor.
En effet, le programme Safe Harbor prévoit que pour divulguer des informations à un tiers dans le cadre d'un transfert ultérieur, les sociétés sont tenues d'appliquer les principes de notification et de choix. Les organisations qui le souhaitent peuvent transférer des informations à un tiers agissant en qualité de mandataire si elles certifient auparavant que le tiers souscrit aux principes du Safe Harbor ou est soumis aux dispositions de la directive ou d'un autre mécanisme attestant le niveau adéquat de la protection ou encore si elle passe un accord écrit avec ce tiers dans lequel celui-ci s'engage à assurer au moins le même niveau de protection que les principes.
Conformément aux dispositions des clauses contractuelles types adoptées par la Commission européenne et aux principes du Safe Harbor, il est impératif qu'un travail exhaustif soit opéré par le responsable de traitement situé à l'étranger concernant la pertinence, la légitimité et l'exactitude des données devant être communiquées dans le cadre du procès.
Par ailleurs, la personne concernée doit en être informée de manière claire et doit avoir la possibilité de refuser la communication sur la base de motifs légitimes.
"
.
LA RÉPONSE :c'est la délibération n° 2009-474 du 23 juillet 2009 de la CNIL portant recommandation en matière de transfert de données à caractère personnel dans le cadre de procédures judiciaires américaines dite de « Discovery » qui nous la donne (23 Juillet 2009 - Thème(s) : Données sensibles, Justice, JORF n°0190 du 19 août 2009 page texte n° 27, NOR: CNIA0900018X) :
"
9. Formalités relatives aux transferts de données à caractère personnel vers les États-Unis
Les transferts de données à caractère personnel doivent s'opérer conformément aux dispositions spécifiques de la loi du 6 janvier 1978 modifiée relatives aux transferts internationaux de données, et notamment ses articles 68 et 69. Sur ce point, il convient de rappeler que les Etats-Unis ne disposent pas d'un niveau de protection adéquat en matière de protection des données à caractère personnel, au sens de la directive européenne du 24 octobre 1995.
.
Deux cas doivent être distingués :
1. L'hypothèse où les données personnelles sont en France et directement transférées aux États-Unis pour des finalités contentieuses :
S'agissant d'un transfert unique et non-massif d'informations pertinentes, l'exception de l'article 69-3° peut être utilisée pour justifier le transfert de données personnelles à des fins de constatation, sauvegarde ou défense d'un droit en justice pour le responsable de traitement. Dès lors que ce transfert est encadré par l'exception visée à l'article précédemment visé, il ne doit pas faire l'objet d'une autorisation de la CNIL, mais doit néanmoins être déclaré.
Lorsqu'il s'agit de transferts massifs et répétés, le transfert de données personnelles peut avoir lieu :
* lorsque le destinataire des données personnelles est une entité établie aux Etats-Unis et qui a auto-adhéré aux principes du Safe Harbor ;
* lorsque le destinataire des données personnelles a signé des clauses contractuelles types adoptées par la Commission européenne avec le responsable de traitement en France ;
* lorsque le destinataire des données personnelles a mis en place des règles internes contraignantes (ou « Binding Corporate Rules ») au sein de son groupe.
2. L'hypothèse où les données personnelles ont déjà été transférées sur le territoire américain ou sur un territoire n'offrant pas de protection adéquate pour une finalité légitime et préalablement autorisée (ex. : centralisation de la base de données des ressources humaines de la filiale française d'un groupe américain) :
Lorsque les données font l'objet d'un transfert ultérieur vers une autorité judiciaire, le responsable de traitement devra apporter une protection adéquate aux données communiquées aux autorités américaines et à la partie adverse par la mise en œuvre d'outils d'encadrement appropriés tels que la définition d'un « stipulative court order » prenant en compte la protection des données personnelles.
Lorsque les données font l'objet d'un transfert ultérieur vers une partie au procès ou vers des tiers, il conviendra alors de prévoir la conclusion de clauses contractuelles appropriées avec la partie recevant communication des informations, ou le cas échéant l'engagement de la partie de respecter les principes portant sur les transferts ultérieurs tels que prévus dans l'accord Safe Harbor.
En effet, le programme Safe Harbor prévoit que pour divulguer des informations à un tiers dans le cadre d'un transfert ultérieur, les sociétés sont tenues d'appliquer les principes de notification et de choix. Les organisations qui le souhaitent peuvent transférer des informations à un tiers agissant en qualité de mandataire si elles certifient auparavant que le tiers souscrit aux principes du Safe Harbor ou est soumis aux dispositions de la directive ou d'un autre mécanisme attestant le niveau adéquat de la protection ou encore si elle passe un accord écrit avec ce tiers dans lequel celui-ci s'engage à assurer au moins le même niveau de protection que les principes.
Conformément aux dispositions des clauses contractuelles types adoptées par la Commission européenne et aux principes du Safe Harbor, il est impératif qu'un travail exhaustif soit opéré par le responsable de traitement situé à l'étranger concernant la pertinence, la légitimité et l'exactitude des données devant être communiquées dans le cadre du procès.
Par ailleurs, la personne concernée doit en être informée de manière claire et doit avoir la possibilité de refuser la communication sur la base de motifs légitimes.
"
Aucun commentaire:
Enregistrer un commentaire