C. UNE RÉGLEMENTATION DES TRANSFERTS DE DONNÉES CONCILIANT PROTECTION DES PERSONNES ET IMPÉRATIFS ÉCONOMIQUES
1. La libre-circulation des données à l'intérieur de l'Union européenne
Le
projet de loi, conformément à la directive,
consacre la
liberté de circulation des données à l'intérieur de
l'Union européenne
, les dispositions de la directive assurant un
niveau de protection adéquat.
On rappellera brièvement que même en l'absence de transposition
dans les délais requis, les personnes physiques et morales sont
fondées à exiger de l'Etat, des personnes morales de droit public
et des personnes morales de droit privé gérant un service public
l'application à leur profit des dispositions de la directive, en vertu
de son effet direct vertical.
A contrario
, les personnes morales de droit public ne peuvent invoquer
à l'encontre des autres personnes des dispositions de directives non
encore transposées, pas plus que les personnes de droit privé ne
peuvent en arguer face à d'autres personnes de droit privé
(absence d'effet horizontal et d'effet vertical inversé).
2. La réglementation des transferts vers des Etats tiers
Le
projet de loi encadre en revanche les transferts de données en direction
des Etats tiers, ceux-ci n'étant
possibles que si ces Etats assurent
un niveau de protection « suffisant »
(article 12 du
projet).
On notera que la loi de 1994 sur la recherche en matière de santé
exigeait une protection équivalente.
Des
dérogations
à cette exigence sont néanmoins
prévues (article 69 nouveau)
en cas de consentement des personnes ou
de nécessités particulières
(sauvegarde de la vie de
la personne, intérêt public notamment).
La
CNIL peut en outre autoriser des transferts
, notamment si des clauses
contractuelles particulières assurent la protection requise, mais
s'agissant de traitements relevant de la souveraineté nationale, le
transfert ne peut être autorisé que par un décret en
Conseil d'Etat pris après avis motivé et publié de la
CNIL.
Afin d'harmoniser la position des différents Etats membres au regard des
transferts de traitements de données à caractère personnel
vers des Etats tiers n'assurant pas un niveau de protection suffisant, la
Commission européenne est appelée à jouer un rôle
déterminant (article 70 nouveau) pour apprécier ce niveau.
Les
autorités de contrôle nationales devront se conformer aux
décisions de la Commission européenne et en l'absence de
celles-ci, lui notifier les leurs
, voire surseoir à statuer en cas
de doute.