La gestion des DRM en perspectivepar Herwann Perrin Université René Descartes Paris V - DESS de Droit et Pratique du Commerce électronique 2004 |
§2 - Les contrats de flux transfrontaliersCette problématique a, notamment, été évoquée dans un document de travail du Groupe de l'Article 29148(*) en juin 2003. En effet, les dispositions des articles 25149(*) et 26150(*) de la Directive 95/46 sur la protection des données personnelles imposent, notamment, ces mesures dans le cadre de transferts de ces données dans des pays non membres de l'Union européenne. De plus, suite au premier rapport à la Commission sur l'application de la Directive 95/46 en Mai 2003151(*), le Directeur de la DG Marché Intérieur s'est interrogé et indique dans une note que « certains indicateurs donnent manifestement à penser que de nombreux transferts non autorisés et éventuellement illégaux ont lieu vers des destinations ou des destinataires ne garantissant pas une protection adéquate. L'un de ces indicateurs [étant] le nombre très limité de notifications reçues des États membres en application de l'article 26, paragraphe 3 de la directive: "bien qu'il existe d'autres moyens possibles de transferts légaux que l'article 26, paragraphe 2, le nombre de notifications reçues est dérisoire par rapport à ce que l'on pourrait raisonnablement s'attendre ».152(*) Aussi, des mesures de nature à faciliter la diffusion de l'information seront prises : par exemple, si « la directive 95/46/CE ne fait pas obligation à la Commission d'informer les États membres des notifications reçues en vertu de l'article 26, paragraphe 3. Les États membres sont instamment priés d'informer la Commission européenne et les autres États membres de toute autorisation accordée. Néanmoins, les services de la Commission alerteront les États membres et les autorités chargées de la protection des données de ces notifications afin que les intéressés puissent contacter l'autorité de notification compétente et obtenir toutes les informations nécessaires directement de celle-ci ».153(*) Le recours aux clauses contractuelles est également une possibilité. Pour les Etats-Unis, ces clauses contractuelles ne sont, généralement, pas nécessaire dans le cas d'un transfert de données à des sociétés américaines adhérant aux principes de la "sphère de sécurité" (safe harbor) publiés par le ministère du commerce des Etats-Unis. Cependant, eu égard à l'importance et à la sensibilité des informations, ce principe fait l'objet d'un contrôle par les autorités nationales telles que la CNIL et le Groupe de l'article 29 émet également dans le cadre de la mission qui lui a été confié des avis. A cet égard, on suivra avec intérêt l'évolution des discussions qui ont lieu sur la problématique des données personnelles contenues dans les dossiers des passagers (PNR). En effet, depuis le 5 mars 2003, les compagnies aériennes européennes transmettent ces données aux autorités américaines. Or à suivre les avis successifs du groupe de l'article 29154(*) ces transferts ne sont pas satisfaisant ; la position de la CNIL étant elle similaire dans la mesure où elle considère que « la transmission des données contenues dans le PNR aux autorités américaines constitue un détournement de finalité du traitement informatique dans la mesure où elles ont été collectées à des fins commerciales et non pour des raisons de sécurité ».155(*) Elle précise également le fait que « certaines informations figurant dans le dossier de réservation d'un passager sont de nature à révéler à un tiers des données susceptibles de porter atteinte à la vie privée des personnes concernées. L'itinéraire des déplacements d'une personne, le nom de ses compagnons de voyage, son numéro de téléphone peuvent relever de sa vie privée. C'est encore plus le cas des données qui peuvent faire apparaître les origines raciales ou les opinions politiques, philosophiques, religieuses ou les moeurs ».156(*) Elle termine en faisant référence à l'article 26 de la directive 95/46 et en indiquant que les Etats-Unis n'offre pas une protection adéquate de ces informations.157(*) Aussi, à la lumière de ces difficultés de traitement des données personnelles dans un contexte identifié, on peut se demander ce qu'il en sera au niveau de la gestion des DRM. En effet, les services proposés aux utilisateurs devront être en conformité avec l'ensemble des législations en place et notamment la législation européenne et faire état de contrat de flux transfrontaliers de données respectant impérativement ces desseins afin que les errements sécuritaires et commerciaux permettant le croisement des fichiers, la revente de ceux-ci ne puissent être autorisés que dans les limites de la légalité. Les entreprises devront, en tout état de cause, si une protection adéquate n'est pas établie établir des clauses contractuelles qui peuvent, à travers l'application d'une exception de l'article 26, se substituer et offrir des garanties suffisantes pour effectuer les dits transferts vers des pays tiers. La Commission a ainsi proposée certains modèles de clauses contractuelles158(*) ayant un caractère obligatoire permettant aux entreprises de respecter leurs obligations en la matière.159(*) * 148 Article 29 Groupe de protection des données, Document de travail sur les Transferts de données personnelles vers des pays tiers : Application de l'article 26 (2) de la directive de l'UE relative à la protection des données aux règles l'entreprise contraignantes applicables aux transferts internationaux de données, 3 juin 2003, 22p. www.europa.eu.int/comm/privacy * 149Article 25 - Principes 1. « Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat ». Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, Texte publié au Journal officiel des Communautés européennes n° L 281 du 23/11/1995 p. 0031 - 0050. * 150 Notamment les dispositions suivantes nous intéressent : Article 26 - Dérogations 1. « Par dérogation à l'article 25 et sous réserve de dispositions contraires de leur droit national régissant des cas particuliers, les États membres prévoient qu'un transfert de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens de l'article 25 paragraphe 2 peut être effectué, à condition que: a) la personne concernée ait indubitablement donné son consentement au transfert envisagé ou b) le transfert soit nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée ou c) le transfert soit nécessaire à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers ou d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice ou e) le transfert soit nécessaire à la sauvegarde de l'intérêt vital de la personne concernée ou f) le transfert intervienne au départ d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier . 2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens de l'article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées ». Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, Texte publié au Journal officiel des Communautés européennes n° L 281 du 23/11/1995 p. 0031 - 0050. * 151 Premier rapport de la Commission sur la mise en oeuvre de la Directive relative à la protection des données, « Analysis and impact study on the implementation of Directive EC 95/46 in Member States », 16 Mai 2003, 68p. http://europa.eu.int/comm/internal_market/privacy/lawreport/data-directive_fr.htm * 152 Commission Européenne, DG Marche Intérieur, Services, Propriété Intellectuelle et Industrielle, Medias et Protection des Donnes, Le Directeur - Notifications nationales en vertu de l'article 26, paragraphe 3 de la directive et échange de meilleures pratiques, 21 août 2003, p. 1. http://europa.eu.int/comm/internal_market/privacy/docs/lawreport/notification-art-26_fr.pdf * 153 Ibid, p. 4. * 154 Notamment l'avis du 29 janvier 2004, Article 29 Groupe de protection des données, avis 2/2004 sur le niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens (PNR) transférés au Bureau des douanes et de la protection des frontières des États-Unis (US CBP), Adopté le 29 janvier 2004, 14p. http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2004/wp87_fr.pdf * 155 www.cnil.fr/index.php?id=1017 au 24 février 2004. * 156 Ibid. * 157 « (...) Parallèlement, le Conseil examinait un projet de mandat de négociation entre l'Union européenne et les Etats-Unis destiné à créer l'obligation pour les compagnies aériennes de transférer les données passagers aux autorités américaines et d'autoriser ces dernières à accéder directement aux systèmes de réservation. C'est dans ce contexte que le Parlement européen, saisi de ce projet d'accord, a décidé le 21 avril 2004 de saisir la Cour de justice afin qu'elle se prononce sur sa compatibilité avec la législation européenne ». PNR : les dernières évolutions, 3/05/2004, www.cnli.fr * 158 Décision de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, 15 juin 2001, 14p. http://europa.eu.int/comm/internal_market/privacy/modelcontracts_fr.htm * 159 Guillaume Desgens-Pasanau, Flux de données transfrontaliers : risques juridiques et moyens de protection, 16 avril 2002, www.journaldunet.com/juridique/juridique020416.shtml |
|