Projet de loi relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Rapports législatifs

Rapport n° 218 (2002-2003), déposé le

C. UNE RÉGLEMENTATION DES TRANSFERTS DE DONNÉES CONCILIANT PROTECTION DES PERSONNES ET IMPÉRATIFS ÉCONOMIQUES

1. La libre-circulation des données à l'intérieur de l'Union européenne

Le projet de loi, conformément à la directive, consacre la liberté de circulation des données à l'intérieur de l'Union européenne , les dispositions de la directive assurant un niveau de protection adéquat.

On rappellera brièvement que même en l'absence de transposition dans les délais requis, les personnes physiques et morales sont fondées à exiger de l'Etat, des personnes morales de droit public et des personnes morales de droit privé gérant un service public l'application à leur profit des dispositions de la directive, en vertu de son effet direct vertical.

A contrario , les personnes morales de droit public ne peuvent invoquer à l'encontre des autres personnes des dispositions de directives non encore transposées, pas plus que les personnes de droit privé ne peuvent en arguer face à d'autres personnes de droit privé (absence d'effet horizontal et d'effet vertical inversé).

2. La réglementation des transferts vers des Etats tiers

Le projet de loi encadre en revanche les transferts de données en direction des Etats tiers, ceux-ci n'étant possibles que si ces Etats assurent un niveau de protection « suffisant » (article 12 du projet).

On notera que la loi de 1994 sur la recherche en matière de santé exigeait une protection équivalente.

Des dérogations à cette exigence sont néanmoins prévues (article 69 nouveau) en cas de consentement des personnes ou de nécessités particulières (sauvegarde de la vie de la personne, intérêt public notamment).

La CNIL peut en outre autoriser des transferts , notamment si des clauses contractuelles particulières assurent la protection requise, mais s'agissant de traitements relevant de la souveraineté nationale, le transfert ne peut être autorisé que par un décret en Conseil d'Etat pris après avis motivé et publié de la CNIL.

Afin d'harmoniser la position des différents Etats membres au regard des transferts de traitements de données à caractère personnel vers des Etats tiers n'assurant pas un niveau de protection suffisant, la Commission européenne est appelée à jouer un rôle déterminant (article 70 nouveau) pour apprécier ce niveau.

Les autorités de contrôle nationales devront se conformer aux décisions de la Commission européenne et en l'absence de celles-ci, lui notifier les leurs , voire surseoir à statuer en cas de doute.

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page