Transfert de données à caractère personnel vers des Etats n’appartenant pas à la Communauté Européenne, par Agathe Euvrard, Avocate (analyse)

La loi LCEN et la Nouvelle Loi Informatique et Libertés applicables aux fichiers s’appliquent à toutes les entreprises ayant leur siège en France, mais également en Polynésie française.

Ainsi, sont soumis à la loi les traitements dont le responsable :

  est établi sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique,

  n’est établi ni en France, ni dans aucuns des Etats de l’Union Européenne et recourt à " des moyens de traitements " situés sur le territoire français (le responsable doit désigner à la CNILun représentant établi en France qui se substitue à lui dans l’accompagnement de ses obligations).

La Nouvelle Loi relative à l’Informatique, aux Fichiers et aux Libertés prévoit pour sa part, la possibilité de transférer des données à caractère personnel vers des Etats n’appartenant pas à la Communauté Européenne, dans l’un des trois cas suivants :

  l’Etat vers lequel sont transférées ces données à caractère personnel doit assurer un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes, c’est-à-dire avoir été reconnu par la commission européenne comme présentant un niveau similaire de protection à celui garanti par la directive du 24 octobre 1995

  la personne à laquelle se rapporte ces données doit avoir consenti expressément à leur transfert,

  le transfert des données doit être nécessaire à l’une des six conditions suivantes :

§ sauvegarde de la vie de la personne,
§ sauvegarde de l’intérêt public,
§ respect des obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice,
§ consultation d’un registre public destiné à l’information du public et ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime,
§ exécution d’un contrat entre le responsable du traitement et l’intéressé,
§ conclusion ou exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement ou un tiers.

Par conséquent et pratiquement :

Lorsqu’une entreprise responsable d’un traitement est établie dans un Etat de l’U.E. et que le traitement est réalisé par une filiale située en France, la loi française s’appliquera.

Quand un traitement est réalisé dans un autre état membre de l’U.E, et concerne des données collectées en France, seule la loi de l’Etat à partir duquel les données sont collectées sera applicable sauf si un des moyens utile au traitement des données (tel le serveur par exemple), se trouve en France.

Ainsi, une entreprise américaine qui utilise un serveur situé en France pour collecter des données auprès de citoyens italiens se verra appliquer la loi française et devra donc désigner en France un représentant auprès de la CNIL.

Une grande prudence est dorénavant indispensable dans le cadre de toute prospection commerciale car le nouvel article 226-18 du Code Pénal punit de 5 ans d’emprisonnement et de 300 000 euros d’amende le fait de traiter des données malgré l’exercice d’un droit d’opposition.

Si, les remarques qui précèdent laissent supposer que le volume des adresses disponibles dans les bases de données va chuter, les vendeurs de fichiers peuvent néanmoins espérer que leurs prix vont parallèlement considérablement augmenter.