Guide sur les transferts de données à caractère personnel vers des
Contents
1. la loi du 6 janvier 1978 contient d sormais des dispositions sp cifiques relatives au recours des sous traitants Ces dispositions devront tre satisfaites que ce sous traitant soit tabli ou non sur le territoire de l Union europ enne L article 35 3 de la loi pr voit que le sous traitant doit pr senter des garanties suffisantes pour assurer la mise en oeuvre des mesures de s curit et de confidentialit mentionn es l article 34 Cette exigence ne d charge pas le responsable du traitement de son obligation de veiller au respect de ces mesures L article 35 4 pr voit que le contrat liant le sous traitant au responsable du traitement comporte l indication des obligations incombant au sous traitant en mati re de protection de la s curit et de la confidentialit des donn es et pr voit que le sous traitant ne peut agir que sur instruction du responsable du traitement 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 12 REPUBLIQUE FRAN AISE CNiE Les personnes concern es ont elles t inform es du transfert de leurs donn es l tranger Les personnes dont les donn es sont susceptibles d tre transf r es doivent tre inform es de l existence de ce transfert article 32 I 7 de la loi du 6 janvier 1978 modifi e Cette information doit tre suffisamment d taill e et indiquer notamment la finalit du transfert le pays d2. tablissement du destinataire des donn es y compris le fait que ce pays n accorde pas une protection ad quate au sens de la directive europ enne 95 46 du 24 octobre 1995 le ou les cat gories de destinataires des donn es et le cas ch ant de la nature de la protection assur e aux donn es transf r es contrat r gles internes Safe Harbor etc Dans les cas o comme le pr voit le second alin a de l article 32 TIT de la loi l information des personnes aupr s desquelles les donn es n auraient pas t recueillies se r v lerait impossible ou exigerait des efforts disproportionn s par rapport l int r t de la d marche il revient au responsable de traitement de prouver cette impossibilit ou ce caract re disproportionn L article L 432 2 1 du Code du travail pr voit galement que le comit d entreprise doit tre inform sur les traitements automatis s de gestion du personnel et sur toute modification de ceux ci le transfert de donn es relatives au personnel doit galement faire l objet d une telle information collective Un second d cret d application de la loi du 6 janvier 1978 modifi e pr cisera les dispositions de l article 32 de la loi du 6 janvier 1978 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 13 REPUBLIQUE FRAN AISE CNiL Pays quivalent pays ad quat pays non ad quat quel est le statut
3. a Le consentement doit tre donn librement et doit pouvoir tre retir librement Un consentement donn par une personne qui n aurait pas la possibilit d effectuer un v ritable choix ou qui aurait t mise devant le fait accompli ne peut tre valable Ainsi dans un contexte salari c est dire dans le cadre d une relation de subordination le consentement des personnes concern es ne peut a priori tre consid r comme donn librement La doctrine de la CNIL est constante sur ce point Elle est conforme sur ce point la position du groupe de l article 29 telle qu nonc e dans son avis 8 2001 sur le traitement des donn es caract re personnel dans le contexte professionnel et confirm e dans le document de travail WP114 pr cit L employ doit avoir la possibilit de refuser de donner son consentement sans pr judice ou le retirer ult rieurement s il change d avis Or dans une telle situation de d pendance hi rarchique le refus ou les r serves d un salari exprim es l gard du transfert ne sont pas insusceptibles de lui causer un pr judice moral ou mat riel qui serait tout fait contraire la lettre et l esprit des r gles fran aises et europ ennes de protection des donn es personnelles A priori donc les responsables de traitement seraient mal conseill s de se fier uniquement au consentement de leurs employ s pour le transfert de leurs donn es hormis quelq
4. appliquent quel transfert et vite ainsi des confusions quant la justification et la port e de chacun d entre eux Il conviendra de supprimer le paragraphe relatif aux donn es sensibles si celles ci ne font pas l objet d un transfert afin d viter tout risque de confusion Comment mettre en uvre les clauses contractuelles types responsable de traitement sous traitant Dans l analyse des transferts effectu s sur la base des clauses contractuelles types du 27 d cembre 2001 la CNIL s attache particuli rement la r daction de l annexe d crivant les mesures de s curit mises en uvre par le sous traitant Cette annexe doit offrir une description g n rale mais toutefois suffisamment pr cise des mesures de s curit mises en uvre qu elles soient d ordre physique s curit des locaux et logique s curit du syst me Ces mesures de s curit doivent tre jour compte tenu de l tat de la technique 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 21 REPUBLIQUE FRAN AISE CNiE Comment utiliser des r gles internes d entreprise binding corporate rules ou BCR pour encadrer des transferts e quoi servent des r gles internes La loi du 6 janvier 1978 modifi e pr voit express ment qu il peut tre fait recours des r gles internes pour encadrer des transferts internationaux de
5. Afin de faciliter ce processus de soumission de demandes d autorisations simultan es aupr s de diff rentes autorit s de contr le europ ennes le Groupe de l article 29 a adopt le 14 avril 2005 un document de travail relatif une proc dure de coop ration document WP 107 entre ces autorit s L objectif de cette proc dure est de coordonner les commentaires des autorit s comp tentes sur les r gles internes soumises par un groupe multinational et sur les transferts op r s sur cette base Cette 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 25 REPUBLIQUE FRAN AISE CNiL proc dure est coordonn e par une des autorit s de contr le impliqu es dans la proc dure dite autorit de coordination qui aura t d sign e en vertu de diff rents crit res d finis dans le document WP 107 Cette proc dure n institue en aucun cas un m canisme de reconnaissance mutuelle qui lierait les autorit s y participant reconna tre des r gles internes comme constituant des garanties suffisantes d s lors que l autorit de coordination les a reconnues comme telles En tout tat de cause la proc dure ne pourra aboutir qu la d livrance d autorisations de transfert nationales en vertu des r gles nationales applicables dans chacun des pays dans lesquels le responsable de traitement a d pos une telle demande d autorisation Cependant cette proc
6. ellement inappropri voire impossible que le transfert ait lieu sur la base des dispositions de l article 69 al 8 contrat r gles internes Il serait en effet regrettable qu un responsable de traitement r alise d importants transferts de donn es vers des pays tiers sans les encadrer de mani re appropri e alors qu il aurait les moyens d accorder une protection aux personnes concern es contrat de transfert adoption de r gles internes La CNIL et le groupe de l article 29 recommandent en particulier que des transferts r p titifs massifs ou structurels de donn es personnelles dont l importance ou la r gularit justifient qu ils soient encadr s de mani re pr cise fassent l objet d un encadrement juridique sp cifique et ne reposent donc pas sur ces d rogations Le rapporteur du projet de loi de transposition de la directive en seconde lecture devant l Assembl e nationale s est attach mentionner ce point dans son rapport sur l article XII du projet de loi relatif aux transferts internationaux de donn es Ainsi les responsables de traitement envisageant des transferts de donn es doivent privil gier des solutions garantissant aux personnes qu elles continueront b n ficier des droits et garanties fondamentaux reconnus l gard du traitement de leurs donn es dans l Union une fois leurs donn es transf r es loi reconnue comme ad quate dans le pays de destination mise en uvre de
7. Un consentement pour tre valable doit tre une manifestation positive de volont L importance que cet acte soit positif exclut donc de facto tout syst me par lequel la personne n aurait que le droit de s opposer a posteriori au transfert le consentement de la personne doit r ellement conditionner le transfert lequel ne peut avoir lieu si la personne ne s est pas sp cialement manifest e cet effet Tout doute sur le fait que le consentement a bien t donn rendrait la d rogation inapplicable Ainsi les situations dans lesquelles le consentement d une personne est consid r comme ayant t implicitement donn ne pourront pas tre couvertes par cette d rogation Par ailleurs dans son avis relatif l interpr tation de l article 13 de la directive vie priv e et communications lectroniques qui introduit un r gime harmonis pour les communications des fins de prospection directe aux personnes physiques le groupe de l article 29 a fourni plusieurs l ments d interpr tation de la notion de consentement pr alable dans le contexte d internet en particulier Dans cet avis le groupe rappelle notamment l int r t que pr sente l utilisation de cases cocher aux fins de recueillir le consentement pr alable des personnes sur les sites internet L utilisation de cases pr coch es ne saurait satisfaire l exigence que le consentement soit une manifestation positive de volont
8. contractuellement Les parties doivent effectuer un choix entre trois possibilit s qui consistent pour le destinataire des donn es s engager respecter soit aux dispositions pertinentes du droit national de l exportateur c est dire les obligations impos es aux responsables de traitement par la loi du 6 janvier 1978 en ce qui concerne les transferts de donn es partir de la France soit une liste de principes de protection d taill es l annexe 2 des clauses contractuelles types soit pour des destinataires potentiels tablis aux USA la liste des principes du Safe Harbor compl t s par la liste des principes list s l annexe 3 du contrat dans des cas o le destinataire ne rel ve pas du champ d application du Safe Harbor En pratique l option la plus fr quemment retenue consiste choisir de respecter la liste exhaustive des principes tablie par l annexe 2 des clauses contractuelles types Toutefois les cas ne sont pas rares dans lesquels les parties omettent d effectuer ce choix et reprennent ainsi l int gralit des clauses et des annexes sans les compl ter la formulation des obligations de l importateur en devient impr cise et ambigu Le paragraphe 3 de la clause 6 relative la r partition de la responsabilit des parties est optionnel les parties restent en effet libres de fixer entre elles la mani re dont elles souhaitent r partir les dommages int r t
9. des l gislations de protection des donn es personnelles dans le monde e Pays de l Union europ enne Les 27 pays de l Union europ enne ont adopt des l gislations de protection des donn es personnelles transposant dans leur droit national la directive 95 46 CE du 24 octobre 1995 Ces l gislations doivent d s lors tre consid r es comme quivalentes la loi fran aise Les transferts vers ces pays sont libres et ne doivent pas faire l objet de formalit s sp cifiques aupr s de la CNIL Pays de l Espace Economique Europ en Islande Liechtenstein et Norv ge L Islande le Liechtenstein et la Norv ge membre de l Association Europ enne de Libre Echange AELE ont transpos la directive 95 46 dans leur droit national en application des obligations impos es cet gard par l accord sur l Espace conomique europ en EEE En effet en vertu de cet accord ces trois pays sont tenus de transposer l acquis communautaire dans leur droit national dans les domaines couverts par l EFE A ce titre l Islande et la Norv ge ont adopt des lois de transposition de la directive 95 46 en 2000 et le Liechtenstein en 2002 D s lors les l gislations de ces trois pays doivent tre consid r es comme quivalentes celles des pays de l Union europ enne et les transferts vers ces pays ne doivent pas faire l objet de formalit s sp cifiques aupr s de la CNIL La Suisse quatri me pays membre de l AEL
10. es sensibles le cas ch ant 3 5 destinataires des donn es 3 6 dur es de conservation Clause 4 Clause de tiers b n ficiaire donnant aux personnes concern es le droit de se pr valoir des dispositions du contrat Clause 5 Obligations de l exportateur 5 1 traitement conforme au droit national ex d claration CNIL lic it de la collecte et de la communication des tiers 5 2 si le transfert concerne des cat gories sp ciales de donn es information des personnes sur la transmission de leurs donn es vers un pays non ad quat 5 3 r pondre la CNIL et ou aux personnes concern es en cas de questions relatives aux traitements 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE 39 CNiL a Clause 6 Obligations de l importateur 6 1 la l gislation laquelle il est soumis ne P emp che pas de respecter les obligations pr vues au contrat 6 2 s engage traiter les donn es conform ment au droit fran ais OU 6 3 conform ment aux principes nonc s l annexe 2 des clauses types c est dire 1 Limitation des transferts une finalit sp cifique Qualit et proportionnalit des donn es Transparence S curit et confidentialit nm S Droits d acc s de rectification d effacement et d opposition 6 Restrictions aux transferts ult rieurs information extensive des pers
11. l article 69 de la loi La n cessit d une interpr tation stricte de ces exceptions est conforme la position du groupe de l article 29 exprim e notamment dans son document de r f rence en mati re de transferts internationaux de donn es document de travail WP 12 ainsi qu au rapport explicatif du Protocole additionnel la Convention 108 Article 2 2 a 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 27 REPUBLIQUE FRAN AISE CNik c son Notionele de tiai Plus r cemment le groupe de l article 29 a adopt un document de travail sp cifiquement d di cette question de l interpr tation des d rogations de l article 26 1 de la directive document WP114 Ce document affine la premi re analyse du document WP12 sur ces questions et formule un certain nombre de recommandations Le groupe de l article 29 a conclu dans son document de travail WP 12 que ces d rogations formul es de mani re restrictive ne doivent concerner que des cas dans lesquels les risques pour la personne concern e sont relativement faibles ou des cas dans lesquels d autres int r ts qu ils soient publics ou propres la personne concern e elle m me priment le droit de la personne concern e au respect de sa vie priv e La CNIL recommande ainsi que le champ d application des dispositions soit a priori limit des cas exceptionnels dans lesquels il serait r
12. l audit des moyens de traitement du destinataire etc leur responsabilit r ciproque leur responsabilit envers la personne dont les donn es sont transf r es et la mise en place de proc dures de m diation Une clause particuli re est la clause dite de tiers b n ficiaire clause 3 cette stipulation pour autrui consiste permettre aux personnes dont les donn es sont transf r es de se pr valoir des termes du contrat quand bien m me elles n y sont pas formellement parties dans les cas o elles 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE 19 CNik c stion Nationale de Hai subiraient un dommage du fait du non respect par l une des parties de ses obligations Dans ces cas cette clause permet notamment ces tiers b n ficiaires d invoquer les termes du contrat pour demander l ex cution par la partie en question de ses obligations Tant la Commission europ enne que les autorit s europ ennes de protection des donn es s accordent sur le caract re fondamental de cette clause qui doit d s lors toujours tre pr sente dans les contrats de transfert Attention les clauses contractuelles types imposent d effectuer un choix la clause 5 b relative aux obligations du destinataire des donn es d terminant les principes de protection des donn es que le destinataire des donn es s engage respecter
13. la CNIL constate fr quemment que des soci t s multinationales envisagent d op rer des transferts concernant l int gralit du personnel de soci t s fran aises dans le cadre de la centralisation des bases de donn es ressources humaines de leur groupe Il est parfois pr vu que ces transferts portent sur la totalit ou la quasi totalit des informations nominatives relatives aux salari s en particulier leur NIR des donn es touchant des aspects de leur vie priv e ou des donn es qui paraissent a priori ne devoir relever que d une gestion locale Ces dossiers peuvent poser des probl mes de l gitimit du transfert et de pertinence des donn es au regard de la finalit du transfert En effet bien que la CNIL ne remette pas en cause le mode de fonctionnement de groupes internationaux l existence de liens capitalistiques entre soci t s ne saurait en elle m me justifier une centralisation g n ralis e des donn es collect es par les soci t s d un groupe aupr s en particulier de la holding de celui ci Un transfert de donn es ne r pondant pas ces conditions serait ill gal et pourrait ce titre engager la responsabilit p nale du responsable de traitement 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE Attention cet exercice d analyse de la l gitimit du transfert doit tre accompli quelque soit la base juridiqu
14. n encadrent que les transferts de donn es caract re personnel qui quittent le territoire fran ais destination de pays n appartenant pas l Union europ enne Elle n ont pas vocation encadrer les transferts issus de pays tiers destination du territoire fran ais En revanche elles s appliqueront si les donn es import es en France quittent de nouveau le territoire fran ais destination d un pays n appartenant pas l Union europ enne 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE Quelles sont les autres r gles respecter Un transfert de donn es vers l tranger comme une communication de donn es un tiers sur le territoire fran ais constitue un traitement de donn es caract re personnel Il est soumis ce titre l ensemble des dispositions de la loi du 6 janvier 1978 L article 2 de la loi nouvelle d finit en effet comme un tel traitement toute op ration ou tout ensemble d op rations portant sur de telles donn es quel que soit le proc d utilis et notamment la communication par transmission diffusion ou toute autre forme de mise disposition de ces donn es Cette d finition qui reprend int gralement celle de l article 2 de la directive 95 46 CE du 24 octobre 1995 est d lib r ment large et recouvre les transferts internationaux Les responsables de traitement
15. public Conform ment l interpr tation donn e par le groupe de l article 29 dans son document de travail WP_12 un transfert de donn es ne peut reposer sur cette d rogation que dans la mesure o ce transfert peut tre consid r comme strictement et objectivement n cessaire la sauvegarde d un int r t public important Le groupe de l article 29 s est d j prononc de mani re restrictive sur l interpr tation qui doit tre faite de la notion de sauvegarde d un int r t public important dans son avis PNR du 24 octobre 2002 Il avait alors refus le recours cette exception pour l gitimer le transfert des donn es des passagers des compagnies a riennes aux autorit s am ricaines qui arguaient d un tel int r t public important pour deux raisons d une part le caract re de n cessit du transfert n tait pas tabli d autre part il ne paraissait pas acceptable qu une d cision unilat rale d un pays tiers pour des raisons d int r t public qui lui sont propres conduise au transfert r gulier et massif de donn es prot g es par la directive En effet il est vident que le l gislateur europ en n a envisag ici que ne puissent tre pris en compte que des int r ts publics importants qui auraient t d termin s comme tels par la loi nationale applicable aux responsables de traitement tablis sur le territoire de l Union europ enne Toute autre interpr tation re
16. tablis en France doivent donc s assurer de ce que le transfert qu ils envisagent d effectuer r pondent l ensemble des r gles de la loi du 6 janvier 1978 et non seulement celles des dispositions de la loi qui traitent des transferts vers des pays n appartenant pas l Union europ enne Il en r sulte en particulier que a Le traitement doit avoir r guli rement fait l objet des formalit s pr alables requises par la loi la CNIL ne saurait autoriser un transfert de donn es d s lors que le traitement original dont les donn es sont issues n aurait pas t d clar ou autoris a Tout transfert de donn es vers l tranger doit avoir une finalit d termin e explicite et l gitime le responsable de traitement tabli en France doit pouvoir expliquer pourquoi le transfert a lieu et s tre assur que ces raisons sont compatibles avec les exigences de la loi fran aise a Les donn es transf r es ne doivent pas tre trait es ult rieurement de mani re incompatible avec cette finalit le responsable de traitement doit pouvoir tablir que la raison pour laquelle les donn es sont transf r es est compatible avec les raisons pour lesquelles les donn es ont t initialement collect es a Les donn es transf r es doivent tre ad quates pertinentes et non excessives au regard de la ou des finalit s pour lesquelles elles sont transf r es article 6 de la loi nouvelle A titre d exemple
17. transfert pourrait tre consid r comme n cessaire l ex cution du contrat de travail conclu entre le salari et le responsable de traitement 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 32 REPUBLIQUE FRAN AISE CNik c on Notionele de Hal La notion d ex cution du contrat de travail ne pouvant tre interpr t e d une fa on aussi large aucun lien direct et objectif n existe entre l ex cution d un contrat de travail et un tel transfert Le caract re suppos n cessaire d un transfert vers une soci t trang re pour l ex cution de contrats conclus par un responsable de traitement tabli dans l Union europ enne est d ailleurs en r gle g n rale purement subjectif Il r sulte g n ralement d un choix conomique et ou organisationnel c est dire d une d cision interne l organisation concern e et non d une n cessit objective qui serait impos e par exemple par une disposition l gislative nationale Ce crit re de n cessit objective correspond l interpr tation du Groupe de l article 29 des exceptions relatives l ex cution du contrat dans ses documents de travail WP 12 et WP114 Par ailleurs une interpr tation stricte de cette exception implique que les donn es transf r es doivent tre strictement n cessaires et proportionn es la finalit de l ex cution de ce contrat ou de ces mesures pr contr
18. 1 53 73 22 22 Fax 01 53 73 22 00 18 REPUBLIQUE FRAN AISE CNiL e La CNIL a t elle une pr f rence entre les clauses contractuelles types du 15 juin 2001 et du 7 janvier 2005 pour les transferts de responsable de traitement responsable de traitement Non Les responsables de traitement sont libres d avoir recours l un ou l autre ensemble de clauses que la CNIL tient pour strictement quivalentes Peut on modifier les clauses contractuelles types Les avantages d coulant de l utilisation des clauses contractuelles types de la Commission europ enne qui ont t rappel s plus haut sont li s la condition d une reprise int grale du texte des clauses types Toute modification apport e aux clauses dans la mesure o elle serait susceptible de modifier l quilibre de la protection qu elles accordent d lierait la CNIL de son obligation de consid rer que le transfert a lieu dans des conditions satisfaisantes au regard des droits des personnes dont les donn es sont transf r es Cependant des am nagements sont envisageables quand ils ne modifient pas le contenu de la protection accord e par ces clauses Il appartient au responsable de traitement qui communique ce contrat la CNIL dans le cadre de son pouvoir d autorisation pr alable des transferts art 69 al 8 d indiquer la localisation et le contenu de ces modifications afin de permettre la Commission d en appr cier les cons quenc
19. CNIL Commission Nationale de l Informatique et des Libert s Juin 2008 Transferts de donn es caract re personnel vers des pays non membres de l Union europ enne 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE SOMMAIRE A quelles conditions le transfert peut il s effectuer ssesssecssecssoosscosssocessccssocesoossoosssoessseessocssooseo 3 Quand consid re t on qu il y a un transfert de donn es caract re personnel e ssessosseessescse 5 Pourquoi encadrer les transferts de donn es caract re personnel vers des pays n appartenant pas l Union europ enne eessesseessesecsseescesocsscescescosscescescoesocssescoesccssesscesccsseesseseesse 7 Quelles sont les autres r gles respecter e ssessesseessescoesocsoeecoesocsseecoesocsseesoesocsscesoesocsseesceecosseessesose 8 Quelles sont les sanctions p nales applicables ssesssesoessecsoesocssessoesocsscesoesocsseesoesooesoessessossoessseo 10 Le destinataire est il responsable de traitement ou sous traitant esse 11 Les personnes concern es ont elles t inform es du transfert de leurs donn es l tranger OE E IAA E AA R titane 13 Pays quivalent pays ad quat pays non ad quat quel est le statut des l gislations de protection des donn es personnelles dans le monde sseseessescoesocsseesoesocsseesoesocsseescesoosseessesose 14 Qv
20. E ne fait pas partie de l EEE La l gislation f d rale suisse ne peut donc tre consid r e comme quivalente la loi fran aise mais elle a cependant fait l objet d une d cision de reconnaissance d ad quation par la Commission europ enne voir infra Pays ayant fait l objet d une reconnaissance de protection ad quate par la Commission europ enne Le Conseil et le Parlement europ en ont donn le pouvoir la Commission de d cider sur base de l article 25 6 de la directive 95 46 CE qu un pays tiers offre un niveau de protection ad quat en raison de sa l gislation interne ou des engagements pris au niveau international L effet de ces d cisions d ad quation est que les transferts de donn es vers des destinataires tablis dans ces pays ne requi rent pas d encadrement particulier contrat r gles internes etc Les transferts vers ces pays ne doivent pas faire l objet de formalit s sp cifiques aupr s de la CNIL mais la mention de l existence de ce transfert est n cessaire dans le cadre des formalit s pr alables applicables au traitement principal A l heure actuelle la Commission europ enne a adopt de telles d cisions d ad quation pour les pays suivants a L Argentine D cision de la Commission C 2003 1731 du 30 juin 2003 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 14 REPUBLIQUE FRAN AISE CNiE N
21. IL les examine en priorit 2 Le cas des transferts issus de traitements relevant du champ d application d une norme simplifi e Les normes simplifi es adopt es par la CNIL sont d interpr tation stricte Ainsi si elles ne pr cisent pas express ment que des traitements dont sont issus les transferts de donn es vers des pays n appartenant pas l Union europ enne rentrent dans leur champ d application les traitements faisant l objet de tels transferts devront faire l objet d une d claration ordinaire Si ces transferts sont bas s sur des contrats ou des r gles internes les transferts devront faire l objet d une autorisation sp cifique par la CNIL Cas particuliers Les normes simplifi es 48 et 46 ont t tendues par deux d lib rations du 17 novembre 2005 pour permettre aux responsables de traitement de b n ficier de ces mesures de formalit s all g es y compris quand des transferts hors CE seraient issus des traitements couverts par ces normes 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 34 REPUBLIQUE FRAN AISE Attention cette extension n est pas g n rale Elle est soumise condition et ne vaut que pour certaines des finalit s vis es par ces normes V rifiez soigneusement si cette extension vous est bien applicable Les d lib rations correspondantes sont disponibles sur le site de la CNIL version consolid e D lib rat
22. a loi 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE CNiE Pourquoi encadrer les transferts de donn es caract re personnel vers des pays n appartenant pas l Union europ enne Les dispositions de la loi du 6 janvier 1978 et de la directive 95 46 CE du 24 octobre 1995 en mati re de transferts de donn es vers des pays n appartenant pas l Union europ enne visent viter un contournement de la protection accord e dans ces pays par un transfert Elles visent ainsi assurer que les personnes b n ficiant d une protection au regard du traitement de leurs donn es en France continuent en b n ficier lorsque leurs donn es quittent le territoire fran ais pour faire l objet d un traitement hors de l Union europ enne Les pays appartenant l Union europ enne ont tous transpos dans leur droit national la directive 95 46 CE du 24 octobre 1995 et accorde de ce fait une protection quivalente celle accord e par la loi fran aise du 6 janvier 1978 Les transferts envisag s vers des pays membres de l Union europ enne sont donc libres d s lors qu ils ob issent l ensemble des autres dispositions de la loi du 6 janvier 1978 Le m me r gime s applique aux pays de l Espace conomique europ en Liechtenstein Norv ge Islande Attention les r gles relatives aux transferts internationaux de donn es
23. actuelles Il sera d s lors impossible de recourir cette exception pour transf rer des donn es suppl mentaires non essentielles la finalit du transfert ou si le transfert n a pas pour objet l ex cution du contrat mais r pond une autre finalit Qu est ce qu un transfert n cessaire la conclusion ou l ex cution d un contrat conclu ou conclure dans l int r t de la personne concern e entre le responsable du traitement et un tiers Dans son document de travail WP 114 le groupe de l article 29 a pr cis qu un transfert ne peut reposer sur cette d rogation que dans la mesure o une connexion r elle et substantielle est tablie entre ce transfert et la conclusion ou l ex cution d un contrat pass entre le responsable de traitement et un tiers dans l int r t de la personne concern e Ainsi titre d exemple l on peut imaginer que cette condition s applique dans un cas o une personne situ e sur le territoire de l Union europ enne se porte acqu reur d un bien immobilier situ dans un pays tiers ses donn es personnelles pourront alors librement tre transf r es vers le vendeur tabli dans un pays tiers par l agent immobilier situ en Europe qui a t charg de g rer cette acquisition La CNIL est fr quemment interrog e sur le fait que de savoir si cette d rogation trouverait s appliquer dans le cadre de la gestion de programmes de stock
24. cation de la loi centralisation intra groupe de la base de donn es de gestion des commandes et de la comptabilit clients centralisation intra groupe de la base de donn es de gestion des ressources humaines d un groupe multinational transfert vers un prestataire aux fins de saisie informatique de dossiers manuels recours un centre d appel tranger et transfert du fichier correspondant pour d marchage ou qualification h bergement et exploitation de plateformes informatiques Syst mes internationaux de maintenance informatique etc Ne constituent pas des transferts de donn es caract re personnel devant tre encadr s comme tels au sens de la loi inscription par une personne de donn es caract re personnel concernant des tiers sur une page Internet bien que cette inscription rende ces donn es accessibles des personnes se trouvant dans des pays tiers jurisprudence de la Cour Europ enne de Justice arr t Lindqvist du 6 novembre 2003 les cas dans lesquels une personne communique elle m me des donn es la concernant une entit tablie dans un pays tiers notamment via un site Web ou un Intranet Cependant si une entit tablie en France a mis en place un dispositif impliquant que les personnes concern es communiquent elles m mes leurs donn es un prestataire aux fins d un traitement dont les finalit s et les moyens ont t d termin s par lui cette entit
25. contrats ou de r gles d entreprise contraignantes etc plut t que des solutions ne leur garantissant aucune protection En tout tat de cause il revient la CNIL de s assurer que ces exceptions sont mises en uvre de mani re satisfaisante Elles peut intervenir tout moment aupr s des responsables de traitement concern s pour les informer de la n cessit d encadrer un transfert international de donn es de mani re appropri e plut t que de se fier aux exceptions de l article 26 si elle l estime justifi La CNIL a tabli des r gles relatives l interpr tation de chacune de ces exceptions que l on retrouve galement dans le document WP114 du groupe de l article 29 e Dans quels cas peut on utiliser le consentement de la personne concern e L article 69 al 1 pr voit qu un transfert de donn es caract re personnel peut tre effectu vers un pays n accordant pas de protection ad quate condition que la personne ait consenti express ment au transfert Pour tre valable dans quelques circonstances qu il soit donn ce consentement doit tre une manifestation de volont libre sp cifique et inform e Telle est en effet la d finition du consentement que donne l article 2 h de la directive 95 46 CE du 24 octobre 1995 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 28 REPUBLIQUE FRAN AISE CNik c on Notionele de Hal a
26. d autonomie sur la d termination des moyens du traitement restent responsables de traitement pour les traitements gestion de la paie et gestion des ressources humaines qu elles effectuent pour leur propre compte en France e D finition du sous traitant A l inverse un sous traitant aura pour mission d ex cuter des t ches pr cises sur les instructions et sous la seule et unique responsabilit du responsable de traitement importateur des donn es art 35 de la loi toute personne traitant des donn es caract re personnel pour le compte du responsable du traitement est consid r e comme un sous traitant au sens de la pr sente loi 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE 11 A titre d exemple seront consid r s comme sous traitants a une soci t offrant des prestations d h bergement informatique des applications utilis es par le responsable de traitement a une soci t effectuant des op rations de saisie informatique d informations communiqu es par le responsable de traitement sous forme de dossiers papier a une soci t g rant un centre d appels pour le compte du responsable de traitement service clients notamment a un prestataire financier g rant un programme de stock options pour le compte d une soci t ayant attribu des options certaines cat gories de son personnel A noter
27. donn es art 69 al 8 Par r gles internes il est entendu un ensemble de r gles relatives la protection des donn es personnelles labor es par l organisme du responsable de traitement le plus souvent une soci t multinationale dont le respect est obligatoire pour chacune des entit s membres du groupe En pratique cette option d encadrement des transferts internationaux de donn es est destin e satisfaire les besoins particuliers des soci t s multinationales au sein desquels les transferts peuvent tre importants et d une grande vari t La vocation de telles r gles internes est d offrir une norme interne de r f rence en mati re de protection des donn es personnelles pour l ensemble des membres du groupe Emises par la direction du groupe elles contribuent uniformiser les pratiques et ce faisant pr venir les risques inh rents aux traitements de donn es personnelles en particulier au sein des soci t s membres du groupe tablies dans des pays ne disposant pas de l gislation de protection des donn es personnelles C est au regard de ces caract ristiques que de telles r gles internes sont susceptibles d assurer que le traitement garantit un niveau de protection suffisant au regard de la vie priv e et des droits fondamentaux des personnes au sens de l article 69 al 8 de la loi Ainsi elles peuvent constituer une alternative la solution contractuelle pour encadrer des tran
28. donn es entre le territoire fran ais et le territoire d Etats n appartenant pas l Union europ enne indiquez L identit de la soci t d clarante ventuellement le nom du groupe laquelle elle appartient Le num ro de dossier attribu par la CNIL si vous disposez d j d un tel num ro Dossier n La finalit du traitement principal La finalit du transfert L identit du destinataire Le pays d tablissement du destinataire La nature des traitements op r s chez le destinataire Les cat gories de personnes concern es par le transfert 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 37 REPUBLIQUE FRAN AISE CNik c sion Notionele de l int Les cat gories de donn es transf r es La ou les cat gories de destinataires La dur e de conservation des donn es chez le destinataire La nature des garanties mises en uvre par le destinataire des donn es visant assurer un niveau de protection suffisant au regard de la protection des donn es transf r es ex contrat r gles internes joindre copie des documents concern s au dossier La nature et les modalit s d information des personnes concern es information individuelle et ou collective Si le transfert a plusieurs finalit s ces informations doivent tre fournies de mani re dist
29. dure constitue une garantie de simplification pour les soci t s multinationales qui n ont d s lors plus se tourner vers chacune des autorit s aupr s desquelles elles doivent accomplir des formalit s relatives aux transferts l autorit de coordination est leur seul point de contact qui se charge de relayer les commentaires de l ensemble des autorit s impliqu es dans la proc dure de coordination 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 26 REPUBLIQUE FRAN AISE CNiE Dans quelles conditions utiliser les exceptions des alin as 1 7 de l article 69 de la loi consentement de la personne ou transfert n cessaire certaines conditions e Quelles sont les exceptions pr vues par la loi Les alin as 1 7 de l article 69 de la loi du 6 janvier 1978 pr voient qu un responsable de traitement peut transf rer des donn es caract re personnel vers un Etat n accordant pas une protection ad quate si la personne laquelle se rapportent les donn es a consenti express ment leur transfert ou si le transfert est n cessaire l une des conditions suivantes 1 A la sauvegarde de la vie de cette personne 2 A la sauvegarde de l int r t public 3 Au respect d obligations permettant d assurer la constatation l exercice ou la d fense d un droit en justice 4 A la consultation dans des conditions r guli res d un reg
30. e sur laquelle le transfert est envisag pays accordant un niveau de protection ad quate contrat r gles internes exceptions de l article 69 al 1 8 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE Quelles sont les sanctions p nales applicables Diff rentes dispositions du Code p nal sont susceptibles de sanctionner des manquements aux r gles sur les transferts internationaux de donn es En particulier les dispositions relatives au non respect des formalit s pr alables pr vues par la loi d claration ou autorisation y compris sur les transferts de donn es sont applicables Art 226 16 et 226 16 A Art 226 16 Le fait y compris par n gligence de proc der ou de faire proc der des traitements de donn es caract re personnel sans qu aient t respect es les formalit s pr alables leur mise en uvre pr vues par la loi est puni de cinq ans d emprisonnement et de 300 000 d amende Art 226 16 A le fait de ne pas respecter y compris par n gligence les normes simplifi es ou d exon ration tablies cet effet par la Commission nationale de l informatique et des libert s est puni de cinq ans d emprisonnement et de 300 000 d amende En outre l Art 226 22 1 du Code p nal dispose Le fait hors les cas pr vus par la loi de proc der ou de faire proc der un transfert de donn es ca
31. enne D cisions de la Commission europ enne relative la constatation du caract re ad quat de la protection des donn es dans les pays tiers Se reporter Pays quivalent pays ad quat pays non ad quat quel est le statut des l gislations de protection des donn es personnelles dans le monde Les transferts de donn es caract re personnel vers les destinataires entrant dans le champ d application de telles d cisions d ad quation ne doivent faire l objet d aucun encadrement sp cifique contrat r gles internes etc La CNIL n a pas autoriser les transferts vers des pays accordant une protection ad quate Elle devra cependant tre inform e de l existence de ces transferts dans le cadre des formalit s pr alables la mise en uvre du traitement principal dont ces transferts sont issus sur ce point se reporter la question 12 e Exception au principe transfert autoris par la CNIL sur la base d un contrat ou de r gles internes La CNIL peut galement autoriser un transfert vers un pays tiers ne disposant pas d un niveau de protection ad quate lorsque le traitement garantit un niveau de protection suffisant de la vie priv e ainsi que des libert s et droits fondamentaux des personnes notamment en raison des clauses contractuelles ou r gles internes dont il fait l objet article 69 al 8 de la loi du 6 janvier 1978 Cette disposition est d sorma
32. es Il est galement possible que les clauses contractuelles types soient incluses dans un contrat multipartite quand une telle configuration contractuelle est n cessaire pour tre fid le la r alit du transfert envisag Par exemple dans la situation o un responsable de traitement aurait recours un sous traitant tabli en France mais qui aurait lui m me recours un sous traitant tabli dans un pays tiers la configuration contractuelle retenue devra n cessairement inclure le responsable de traitement le sous traitant et son propre sous traitant afin d tre conforme la r alit des transferts envisag s en consid rant le responsable de traitement et son sous traitant comme exportateurs des donn es d une part et la soci t sous traitante tablie dans un pays tiers comme importatrice d autre part Comment utiliser les clauses types responsable de traitement responsable de traitement Les clauses contractuelles types responsable de traitement responsable de traitement sont structur es en quatre parties les deux derni res tant alternatives Sur le corps du contrat les clauses contractuelles types proprement dites Cette partie du contrat que les parties ne peuvent modifier pr cise essentiellement les obligations g n rales des deux parties ex leurs obligations d information envers les personnes le traitement des demandes de renseignement de la part de celles ci
33. est ce que le Safe Harbor seesseessecesooesscesssecssecesoceccocecocessecesocesooessocesocessecesocsscosesosssseessosesosess 16 Quel contrat utiliser pour encadrer un transfert international de donn es et comment le mettre en UVr Pessssssssssssseessssssesssssssossosss sssssssessssss sss srs ossstoisossss sessi sessdssossssss sossss esssis esis i 17 Comment utiliser des r gles internes d entreprise binding corporate rules ou BCR pour encadrer des transferts sesssessseossooscoseccoessoocssoocsosecoosscoessooosssoscosscoossssosssoossosecossssosssseesssos 22 Dans quelles conditions utiliser les exceptions des alin as 1 7 de l article 69 de la loi consentement de la personne ou transfert n cessaire certaines conditions se 27 Quelles sont les formalit s accomplir aupr s de la CNIL en mati re de transferts internationaux de donn es e essesesoesesesesoesesoscesesescssesosoesesesossesossesesesossesossesesescesesossssesesossesosossese 34 PeT E EE TE AE E E E ET 36 L identit de la soci t d clarante assistent 37 La finalit du traitement principal sessessecssesccsseessesccsseescescossccssesccesocsseesoesocsscesossocssecscesoesseessesose 37 La finalit du transfert s ssssisssseesssesssssssesseosssessssssvosseosssessocsssosscossss ssosssos sess seis oossgas seast rod eosspei sessi 37 L identit du destinataire sssssssssssessssssesssosicesscsssrosscosisessosssvesicasscsssos
34. eux d cisions concernant les transferts de responsable de traitement responsable de traitement constituent une alternative Le second ensemble de clauses contractuelles types r sulte des n gociations d une coalition d associations d entreprises sous la direction de la Chambre de commerce internationale avec la Commission et le comit des autorit s europ ennes charg es de la protection des donn es le groupe dit de l article 29 Les entreprises estiment que certaines des nouvelles clauses comme celles relatives aux contentieux la r partition des responsabilit s ou aux exigences d audit sont plus favorables aux entreprises Elles fournissent cependant un niveau de protection des donn es similaire celui offert par les clauses de 2001 et pour emp cher les abus les autorit s charg es de la protection des donn es sont investies de davantage de pouvoirs pour intervenir et imposer des sanctions le cas ch ant La mise en uvre de ces nouvelles clauses sera revue en 2008 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE 17 CNiE e Pourquoi utiliser les clauses contractuelles types de la Commission europ enne Ni le texte de la directive 95 46 ni la loi fran aise n interdisent d avoir recours d autres clauses que les clauses contractuelles types adopt es par la Commission europ enne Toutefois la CNIL promeut l utilisa
35. fran aise sera consid r e comme responsable de ce traitement effectu par le destinataire A ce titre la communication de leurs donn es par les personnes devra tre consid r e comme 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE c CNik on Notionele de Hal les moyens d un transfert de donn es que les parties impliqu es devront encadrer de mani re ad quate Exemple les b n ficiaires d un programme d attribution de stock options communiquent au prestataire financier choisi par leur employeur des donn es les concernant qui seront n cessaires la liquidation de leurs options Dans la mesure o l employeur a mis en place ce programme et a choisi ce prestataire il restera responsable des traitements effectu s par le prestataire y compris sur les donn es communiqu es ult rieurement par les employ s A ce titre il devra d clarer le transfert et obtenir une autorisation de transfert par la CNIL Attention Il convient toujours de s interroger sur les questions de droit national applicable que peuvent soulever des situations dans lesquelles une communication de donn es ne peut tre consid r e comme un transfert au sens de la loi le responsable de traitement destinataire des donn es peut parfois tre tenu d appliquer directement la loi du 6 janvier 1978 m me s il est tabli hors de l Union europ enne article 5 de l
36. ielle est tablie entre ce transfert et le respect de telles obligations Ainsi l on peut imaginer que la soci t m re d un groupe multinational tablie dans un pays tiers soit assign e en justice par l un de ses employ s actuellement en poste aupr s d une filiale fran aise du groupe Il semble que cette soci t pourrait l galement requ rir de sa filiale qu elle transf re certaines donn es relatives la personne dans la mesure o celles ci seraient strictement n cessaires sa d fense en s appuyant sur cette d rogation En tout tat de cause il est impossible d avoir recours cette exception pour justifier le transfert de l int gralit des dossiers des employ s des salari s vers la maison m re du groupe en arguant de l ventualit que de telles actions en justice se produisent un jour Cette exception n a en effet vocation qu tre invoqu e de mani re exceptionnelle 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 31 REPUBLIQUE FRAN AISE Cette d rogation ne trouvera par ailleurs s appliquer que si les r gles de proc dure p nale ou civile applicables ce type de situations internationales le permettent cf Conventions de La Haye du 18 mars 1970 et du 25 octobre 1980 Qu est ce qu un transfert intervenant au d part d un registre public L exception pr vue par l article 69 al 1 4 concerne les t
37. ies pr vues par ces clauses types celles ci constituant d sormais une r f rence L int r t de la r daction d un contrat alternatif est donc quasi inexistant Peut on soumettre la CNIL un contrat qui ne soit pas bas sur les clauses contractuelles types Ni la loi ni la directive n interdisent d avoir recours un contrat qui ne soit pas bas sur les clauses contractuelles types pour encadrer des transferts de donn es hors de l Union europ enne Toutefois dans le cadre de l autorisation de transfert qu elle d livre la CNIL doit s assurer que ce contrat accorde des garanties suffisantes ou un niveau de protection suffisant au sens de la directive et de la loi La CNIL appr ciera le niveau de ces garanties par r f rence au niveau de protection r sultant des clauses contractuelles types mises par la Commission europ enne Afin de faciliter cette analyse et ainsi le traitement de leur dossier les responsables de traitement peuvent accompagner leurs projets de contrat alternatifs avec un tableau de correspondance entre les clauses de ce contrat et les clauses contractuelles types de la Commission europ enne A cet effet la CNIL met la disposition des responsables de traitement un tableau de concordance entre de tels contrats et les clauses contractuelles types du 15 juin 2001 Ce tableau est disponible en annexe ce guide pratique 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 0
38. inclusion d obligations contractuelles dans le contrat de travail etc 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 23 REPUBLIQUE FRAN AISE CNiE e Que doit il tre pr vu au b n fice des personnes concern es en cas de dommage subi du fait du transfert Les r gles internes doivent pr voir que les personnes dont les donn es seront transf r es sur la base de ces r gles pourront obtenir r paration de tout pr judice ventuellement subi par elles du fait de ce transfert que ce dommage r sulte du fait de la soci t importatrice ou de la soci t exportatrice Le document WP 74 et le document model checklist donnent plus de d tails sur ce point en pr cisant notamment que la personne concern e doit pouvoir se retourner vers la soci t la plus proche d elle en cas de besoin en pratique la soci t exportatrice avec laquelle la personne est en contact direct Les r gles internes doivent cependant afin de pr venir de telles situations impliquant le recours aux juridictions judiciaires pr voir des proc dure de m diation et de r glement amiable des litiges Ces dispositions sp cifiques des r gles internes doivent explicitement faire mention de la possibilit pour la personne concern e d avoir recours aux services de l autorit de contr le comp tente en France la CNIL e Quelles sont les mesures qui assureront que les r gles seront effect
39. incte pour chacune d entre elles Cette information ne sera n cessaire que si le pays de destination n a pas t reconnu par la Commission Europ enne comme accordant une protection ad quate La liste mise jour des pays accordant une protection ad quate est publi e sur le site de la CNIL dossier International 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE 38 CNiL Tableau de concordance entre les clauses types mises par la Commission europ enne le 15 juin 2001 et les clauses d un contrat alternatif transfert de responsable de traitement responsable de traitement Ce tableau peut tre utilis pour appr cier si les garanties offertes par un contrat de transfert de responsable de traitement un responsable de traitement serait suffisant d s lors qu il n est pas bas sur les clauses contractuelles types Il convient de pr ciser en face de chacune des rubriques pr cis es dans la colonne de gauche quel est l quivalent de la clause d crite dans le contrat soumis la CNIL si elle existe Clauses contractuelles types du 15 juin 2001 Contrat soumis la CNIL Clause 1 Informations relatives aux parties Clause 2 D finitions Clause 3 D tails du transfert annexe 1 3 1 personnes concern es 3 2 finalit s du transfert 3 3 cat gories de donn es concern es 3 4 donn
40. ion avec la CNIL d D p t d une copie du contrat la CNIL clause inutile car obligatoire en vertu du droit fran ais Clause 10 R siliation des clauses les obligations des parties sont maintenues suite la r siliation du contrat e Clause 11 Droit applicable droit fran ais Clause 12 Pas de modification unilat rale du contrat 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 a REPUBLIQUE FRAN AISE
41. ion n 2005 276 portant modification de la norme simplifi e n 48 concernant les traitements automatis s de donn es caract re personnel relatifs la gestion des fichiers de clients et de prospects D lib ration n 2005 277 modifiant la norme simplifi e n 46 destin e simplifier l obligation de d claration des traitements mis en oeuvre par les organismes publics et priv s pour la gestion de leurs personnels 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 35 REPUBLIQUE FRAN AISE Annexes Annexe 6 Compl ment de la rubrique 6 du formulaire de d claration e Tableau de concordance entre les clauses types mises par la Commission europ enne le 15 juin 2001 et les clauses d un contrat alternatif 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE 36 Annexe 6 e Transfert d informations entre le territoire fran ais et l tranger hors Union Europ enne Compl ment de la rubrique 6 du formulaire Cette annexe concerne les transmissions effectu es par voie informatique ou sur support papier Important La d cision d autorisation que la CNIL doit d livrer sur les transferts internationaux de donn es en application de l article 69 al 8 de la loi du 6 janvier 1978 sont prises sur la base des informations renseign es dans cette annexe Dans le cas de transfert de
42. is la r gle en mati re de transferts internationaux de donn es vers des pays n accordant pas une protection consid r e comme ad quate La CNIL doit porter la connaissance de la Commission europ enne et des autorit s europ ennes de contr le les d cisions d autorisation de transfert de donn es caract re personnel qu elle prend au titre de l article 69 alin a 8 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE Se reporter Quel contrat utiliser pour encadrer un transfert international de donn es et comment le mettre en uvre Comment utiliser des r gles internes d entreprise binding corporate rules ou BCR Dans les cas sp cifiques de traitements mis en uvre pour le compte de l Etat tel que pr vu aux articles 26 I et 26 II traitements int ressant la s ret de l tat la d fense ou la s curit publique ou qui ont pour objet la pr vention la recherche la constatation ou la poursuite des infractions p nales une autorisation de transfert des donn es concern es ne peut tre accord e que par d cret en Conseil d tat pris apr s avis motiv et publi de la CNIL Une s rie d exceptions d interpr tation stricte consentement de la personne ou transfert n cessaire certaines conditions Les alin as 1 7 de l article 69 de la loi du 6 janvier 1978 pr voient qu un responsable de
43. ission europ enne sont essentiellement bas s sur ceux de la Directive 95 46 du 24 octobre 1995 a information des personnes a possibilit accord e la personne concern e de s opposer un transfert des tiers ou une utilisation des donn es pour des finalit s diff rentes a consentement explicite pour les donn es sensibles a droit d acc s m s curit a etc La Commission europ enne a adopt le 26 juillet 2000 une d cision d ad quation qui reconna t que ces principes de la Sph re de s curit assurent une protection ad quate pour les besoins des transferts de donn es caract re personnel depuis l Union europ enne Les transferts mis partir de l Union europ enne vers une entreprise ayant adh r au Safe Harbor ne doivent d s lors faire l objet d aucune formalit sp cifique conclusion de contrat de r gles internes etc Attention le champ d application du m canisme de Safe Harbor est restreint l heure actuelle seules peuvent adh rer au Safe Harbor les soci t s relevant de la comp tence de la Federal Trade Commission ou du US Department of Transportation les soci t s adh rentes au Safe Harbor doivent effectuer des d marches compl mentaires afin que les donn es concernant le personnel des soci t s exportatrices soient couvertes par ce dispositif Le US Department of Commerce fournit sur son site l ensemble des informations pra
44. istre public qui en vertu de dispositions l gislatives ou r glementaires est destin l information du public et est ouvert la consultation de celui ci ou de toute personne justifiant d un int r t l gitime 5 A l ex cution d un contrat entre le responsable du traitement et l int ress ou de mesures pr contractuelles prises la demande de celui ci 6 A la conclusion ou l ex cution d un contrat conclu ou conclure dans l int r t de la personne concern e entre le responsable du traitement et un tiers Ces exceptions doivent tre interpr t es strictement Conform ment aux principes g n raux du droit fran ais et du droit communautaire ces d rogations doivent tre interpr t es strictement car elles impliquent une absence totale de protection dans le pays destinataire pour la personne concern e La logique fondamentale des r gles fran aises et europ ennes en mati re de transferts internationaux de donn es consiste assurer aux personnes qu elles continuent b n ficier d une protection m me quand leurs donn es ont t transf r es vers un pays tiers L esprit de ces dispositions consacre une priorit implicite du principe de l exigence d un niveau de protection ad quate ou de garanties suffisantes mises en uvre par le destinataire sur les v ritables d rogations ce principe telles qu nonc es l article 26 1 de la directive alin as 1 8 de
45. ivement appliqu es en pratique Il revient au groupe de prendre des mesures permettant d tre certains que les r gles internes sont effectivement appliqu es en son sein en particulier par la mise en place de proc dures d audits Des mesures de formation du personnel doivent tre pr vues qui donnent celui ci la possibilit d appliquer les r gles internes en pratique D autres l ments pertinents sont voqu s dans le document model checklist tel que l implication active du personnel de direction dans le respect de ces r gles e Quel est le niveau de d tail requis quant aux transferts couverts par les r gles Le document WP 74 mentionne explicitement le fait que les r gles internes doivent fournir un certain niveau de d tail quant la mani re dont les donn es personnelles devront tre trait es par les diff rentes entit s au sein du groupe En effet les principes de protection des donn es personnelles sont susceptibles de ne pas avoir grand sens par en eux m mes pour les soci t s et les employ s traitant des donn es personnelles en particulier dans des pays ne disposant pas de l gislation dans le domaine de la protection des donn es personnelles Ainsi les r gles internes doivent d velopper et d tailler ces principes en pr cisant de mani re concr te leurs cons quences quant aux op rations de traitement effectu es par l organisation dans des pays tiers afin d tre compris et appli
46. le traitement principal doit faire l objet d une d claration ordinaire aupr s de la CNIL article 23 de la loi du 6 janvier 1978 la d claration devra pr ciser qu un transfert de donn es a lieu vers un pays non membre de l Union europ enne question 6 du formulaire de d claration normale Dans ce cas le d clarant devra remplir une annexe sp cifique relative au transfert Le mod le d annexe type peut tre t l charg e sur la page d claration du site de la CNIL Le transfert s il est bas sur un contrat ou des r gles internes fera l objet d une autorisation par la CNIL Cas particuliers L Le cas des traitements exon r s de d claration du fait de la d signation d un correspondant Informatique et Libert s La loi pr voit que la d signation d un correspondant la protection des donn es ou correspondant Informatique et Libert s CIL par le responsable de traitement a pour effet de dispenser celui ci de l accomplissement des formalit s pr vues aux articles 23 d claration et 24 d claration simplifi e Cette exon ration ne s applique pas cependant aux autorisations de transfert de donn es caract re personnel destination d un tat non membre de la Communaut europ enne Dans certains cas les transferts devront ainsi faire l objet d une autorisation par la CNIL Cependant lorsque les dossiers de transferts sont pr sent s par un correspondant la CN
47. les internes n auront de sens que dans la mesure o elles s aligneront sur le plus haut d nominateur commun en mati re de protection des donn es personnelles Comment assurer que des r gles internes lient effectivement les membres du groupe Le document WP 74 et la model checklist adressent tous deux ces questions de la nature contraignante des r gles internes Ce caract re contraignant doit tre tabli de diff rentes mani res En particulier Les diff rentes entit s du groupe doivent tre effectivement tenues d appliquer ces r gles internes Il ne revient pas la CNIL de d terminer comment les groupes peuvent assurer que leurs filiales sont effectivement li es par les r gles internes Les responsables de traitement qui sollicitent une autorisation de transfert de la CNIL devront prouver que ce caract re contraignant est effectif travers l ensemble du groupe Le document du groupe de l article 29 intitul checklist fournit diff rents l ments de nature assurer cette nature contraignante des r gles internes entre les diff rentes entit s du groupe existence de conventions pass es entre les entit s du groupe mise en place de codes de conduite ou de policies etc Les salari s de chaque entit du groupe doivent tre tenus de respecter ces r gles internes Sont pertinents cet gard la pr vision de sanctions disciplinaires en cas de manquement ces r gles l
48. lles ci lui seront soumises dans le cadre d une proc dure d autorisation de transfert de donn es en application de l art 69 al 8 de la loi D s lors ce n est que dans le cadre d une telle proc dure d autorisation que la CNIL sera formellement appel e appr cier si les r gles internes seront susceptibles de constituer des garanties suffisantes au regard du transfert envisag Dans ce cadre il conviendra de fournir la Commission tous les l ments relatifs au traitement principal tels qu ils sont normalement d crits dans le cadre des formalit s pr alables applicables dans le cadre de ces formalit s tous les l ments relatifs au transfert proprement dit annexe 6 du formulaire de d claration les diff rents documents composant les r gles internes de l organisation Attention l adoption de r gles internes n a pas pour effet de dispenser le responsable de traitement de l accomplissement des formalit s pr alables correspondantes aupr s de la CNIL Est il possible d obtenir une autorisation unique de la part de plusieurs autorit s europ ennes de contr le Ayant vocation constituer une norme d application g n rale au sein d un groupe multinational les r gles internes devront a priori tre soumises l appr ciation de plusieurs autorit s de contr le europ ennes dans le cadre de proc dures d autorisation de transfert applicables dans chacun de ces pays
49. me le transfert ne devrait pouvoir tre effectu qu la demande de ces personnes ou lorsqu elles en sont les destinataires Il conviendra en tout tat de cause de se reporter aux dispositions l gales ou r glementaires applicables la consultation du registre concern afin de v rifier si cette exception pourra trouver s appliquer Ces dispositions l gales ou r glementaires d finiront en particulier les notions de destination l information du public et d int r t l gitime qui pourront ouvrir le recours cette exception Qu est ce qu un transfert n cessaire l ex cution d un contrat entre le responsable du traitement et l int ress ou de mesures pr contractuelles prises la demande de celui ci Dans son document de travail WP 114 le groupe de l article 29 a pr cis qu un transfert de donn es ne peut reposer sur cette d rogation que dans la mesure o une connexion r elle et substantielle est tablie entre ce transfert et l ex cution du contrat concern ou de mesures pr contractuelles prises la demande de la personne Il en est d duit qu il serait ill gitime d invoquer cette exception pour fonder le transfert de donn es relatives aux salari s de leurs filiale vers la maison m re d un groupe multinational notamment aux fins de centralisation des activit s de gestion de la paie et des ressources humaines pour l ensemble du groupe au motif que le
50. n tre que relative Ainsi m me dans l hypoth se o la maison m re d un groupe multinational d termine seule les finalit s et les moyens d un traitement dont elle impose la mise en uvre ses filiales celles ci ne peuvent tre consid r es comme sous traitants pour la partie du traitement qu elles r alisent pour leur propre compte Elles seront consid r es comme responsables de traitement et les transferts qu elles r aliseront ult rieurement vers leur maison m re devront tre consid r s comme des transferts de donn es de responsable de traitement responsable de traitement soumis aux r gles des articles 68 et suivants de la loi du 6 janvier 1978 Cette interpr tation se comprend notamment au regard des dispositions de l article 4 I1 a de la directive 95 46 CE du 24 octobre 1995 Cet article dispose que chacun des tablissements d un m me responsable de traitement quand ils sont situ s dans diff rents tats membres est individuellement tenu par les dispositions de la loi nationale de protection des donn es personnelles qui lui sera applicable Exemple La holding d un groupe multinational impose ses filiales la mise en place d un syst me centralis de gestion de la paie et de gestion des ressources humaines dont elle d termine les moyens informatiques Les filiales du groupe bien qu elles n aient pas d cid de la mise en place de ce syst me centralis et malgr leur absence
51. ndrait ais ment possible une autorit trang re de contourner le principe d exigence d une protection ad quate dans le pays destinataire que pose la directive 95 46 En revanche le consid rant 58 de la directive 95 46 fait r f rence des cas dans lesquels ces changes internationaux de donn es pourraient tre n cessaires entre les administrations fiscales ou douani res de diff rents pays ou entre les services comp tents en mati re de s curit sociale Cette pr cision qui semble ne concerner a priori que des situations d investigation de cas particuliers explicite le fait que cette exception ne pourra tre invoqu e que dans la mesure o les autorit s d un pays membre de l Union europ enne sont elles m mes int ress es au transfert et non seulement une ou des autorit s publiques de pays tiers Qu est ce qu un transfert n cessaire au respect d obligations permettant d assurer la constatation l exercice ou la d fense d un droit en justice Comme les d rogations pr c dentes la notion de constatation sauvegarde ou d fense d un droit en justice est soumise interpr tation stricte et son application est r serv e des cas particuliers Conform ment l interpr tation donn e par le groupe de l article 29 dans ses documents de travail WP 12 et WP 114 un transfert de donn es ne peut reposer sur cette d rogation que dans la mesure o une connexion r elle et substant
52. onnes sur la possibilit de transferts ult rieurs et possibilit de s y opposer dans le cas de donn es sensibles le consentement indubitable des personnes est requis 7 Mesures de protection suppl mentaires en cas de transfert de cat gories particuli res de donn es 8 Proc dures d opposition efficaces si transfert pour des fins de marketing direct 9 Droit des personnes de ne pas tre soumises des processus de prise de d cisions individuelles automatis es 6 4 traitera les demandes de renseignements de l exportateur ou des personnes concern es quant au traitement 6 5 coop rera avec la CNIL et se rangera son avis quant au traitement 6 6 la demande de l exportateur se soumettra un audit par des personnes ind pendantes potentiellement la CNIL 6 7 mettra la disposition des personnes une copie des clauses si elles le demandent Clause 7 Responsabilit conjointe et solidaire 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 a REPUBLIQUE FRAN AISE envers les personnes concern es Clause 8 M diation juridiction quand la personne subit un dommage du fait d une violation du contrat les parties acceptent au choix de la personne de soumettre le litige la m diation d une personne ind pendante potentiellement la CNIL OU de porter le litige devant les tribunaux fran ais b c Clause 9 Coop rat
53. options n cessitant le recours des prestataires financiers sp cialis s tablis dans des pays tiers La CNIL est r serv e sur la validit de cette interpr tation En effet le choix de ce prestataire tabli dans un pays tiers ne r pond pas a priori au crit re de connexion r elle et substantielle ou de n cessit objective qu il convient d appliquer dans ces cas Par ailleurs 1l est ici opportun de rappeler que la r gularit des transferts impliqu s dans de telles situations imposerait au contraire qu ils soient encadr s de mani re pr cise La circonstance particuli re dans laquelle le transfert aurait lieu au b n fice de la personne concern e n appara t donc pas davantage pertinente cet gard 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 33 REPUBLIQUE FRAN AISE CNiE Quelles sont les formalit s accomplir aupr s de la CNIL en mati re de transferts internationaux de donn es Attention des dispositions r glementaires doivent venir pr ciser les dispositions de la loi sur les proc dures respecter aupr s de la CNIL en mati re de transferts internationaux de donn es Cette FAQ sera mise jour d s la parution du d cret Les formalit s accomplir aupr s de la CNIL en mati re de transferts internationaux doivent s articuler avec les formalit s relatives au traitement principal dont le transfert est issu S1
54. otionele de Hal a Le Canada D cision de la Commission 2002 2 EC du 20 d cembre 2001 D O0 0 0 La d cision d ad quation du 20 d cembre 2001 ne porte que sur la loi canadienne sur la protection des renseignements personnels et les documents lectroniques LRPDE PIPEDA en anglais du 13 avril 2000 Cette loi s applique aux organisations du secteur priv qui collectent utilisent ou communiquent des donn es personnelles dans le cadre d activit s commerciales dans la mesure o ces entreprises rel vent du champ d application de la loi f d rale Ainsi seuls les transferts de responsables de traitement tablis dans l Union europ enne vers des soci t s couvertes par cette l gislation sont libres et n ont pas besoin de faire l objet de formalit s pr alables aupr s de la CNIL Attention Les transferts vers ces soci t s qui ne concernent que des cas de sous traitance ne rentrent pas dans le champ d application de la d cision ces transferts doivent tre encadr s par contrat La Commission europ enne a tabli une liste des questions fr quemment pos es FAQ sur le champ d application de cette d cision Cette liste est disponible sur le site de la Commission europ enne en cliquant ici FAQ sur l ad quation de la loi canadienne LPRPDE Guernesey D cision de la Commission du 21 novembre 2003 L Ile de Man D cision de la Commission 2004 411 CE du 28 avril 2004 Jer
55. qu s effectivement au sein de l organisation Ce niveau de d tail doit galement tre suffisant pour permettre aux autorit s de contr le comme la CNIL d valuer le caract re ad quat du traitement effectu dans des pays tiers Cette partie des r gles internes devra en pratique refl ter le niveau de d tail exig dans le cadre des formalit s pr alables accomplir aupr s de la CNIL 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE 24 CNiL Des transferts vers des entit s non membres du groupe peuvent ils tre couverts par les r gles internes intra groupe Non Il n est pas possible d envisager que des transferts ult rieurs vers des soci t s non membres du groupe sous traitants ou responsables de traitement puissent avoir lieu sur la base des r gles internes En effet le caract re contraignant de ces r gles ne pourra tre tabli que vis vis de soci t s membres du groupe Il ne sera possible de transf rer des donn es des entit s ext rieures que sur la base d un contrat La CNIL pr conise cet effet d avoir recours aux clauses contractuelles types mises par la Commission europ enne e Quelle est la proc dure respecter aupr s de la CNIL La CNIL n a pas vocation autoriser des r gles internes en tant que telles La Commission n aura conna tre de telles r gles internes que dans la mesure o ce
56. r l urgence d une situation m dicale et que les donn es transf r es seront directement n cessaires l administration des soins correspondants Ainsi par exemple 1l sera possible de transf rer sur cette base vers un pays tiers les donn es relatives une personne y compris certaines donn es sensibles si cette personne se trouve dans un tat d inconscience rendant n cessaire l administration de soins urgents et que seul son m decin traitant tabli dans un des pays de l Union europ enne est m me de fournir ces donn es La motivation du transfert doit se rapporter l int r t individuel de la personne concern e et un diagnostic vital conditionn par le transfert doit tre en cause A contrario il est impossible d invoquer cette exception pour justifier le transfert de donn es personnelles caract re m dical des responsables de traitement tablis hors de l Union europ enne quand ceux ci n ont pas pour finalit de traiter le cas pr cis de la personne concern e mais par exemple d effectuer des recherches m dicales d ordre g n ral qui ne porteraient leurs fruits que dans les ann es venir Dans ce cas les transferts devront reposer sur des bases juridiques alternatives 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 30 REPUBLIQUE FRAN AISE CNiL Qu est ce qu un transfert n cessaire la sauvegarde de l int r t
57. ract re personnel faisant l objet ou destin es faire l objet d un traitement vers un tat n appartenant pas la Communaut europ enne en violation des mesures prises par la Commission des Communaut s europ ennes ou par la Commission nationale de l informatique et des libert s mentionn es l article 70 de la loi n 78 17 du 6 janvier 1978 pr cit e est puni de cinq ans d emprisonnement et de 300 000 d amende 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE 10 CNiL Le destinataire est il responsable de traitement ou sous traitant La qualification de responsable de traitement ou de sous traitant sera essentielle pour d terminer la mani re dont encadrer les transferts internationaux de donn es entre les parties Le crit re essentiel de distinction entre la qualification de responsable de traitement et celle de sous traitant est celui de l autonomie de l importateur des donn es quant l usage qu il pourra faire des donn es qui lui sont transf r es D finition du responsable de traitement Un responsable de traitement est d fini dans la loi comme la personne l autorit publique le service ou l organisme qui d termine ses finalit s et les moyens du traitement Un responsable de traitement se caract rise donc par son autonomie dans la mise en place et la gestion d un traitement Cette autonomie peut
58. ransferts la consultation dans des conditions r guli res d un registre public qui en vertu de dispositions l gislatives ou r glementaires est destin l information du public et est ouvert la consultation de celui ci ou de toute personne justifiant d un int r t l gitime Cette disposition est une cons quence logique de la nature ouverte et librement consultable des registres auxquelles elle se r f re En effet si ces registres sont consultables par tout un chacun sur le territoire national ou par toute personne y ayant un int r t l gitime il semble a priori coh rent de pr voir que cette consultation puisse se faire au profit d une personne tablie dans un pays tiers Cette libert de transfert n est pas int grale Le consid rant 58 de la directive 95 46 CE du 24 octobre 1995 pr voit en effet sur ce point que dans ce cas un tel transfert ne devrait pas porter sur la totalit des donn es ni sur des cat gories de donn es contenues dans ce registre Il serait en effet non conforme l esprit de cette disposition qu elle puisse servir vider ces registres de leur contenu faisant courir le risque terme que ceux ci puissent tre d tourn s de leur finalit d origine en tant exploit s par des entit s tablies dans des pays tiers Par ailleurs le m me consid rant pr voit que lorsqu un registre est destin tre consult par des personnes qui ont un int r t l giti
59. s La CNIL est l autorit europ enne qui a la premi re eu recours cette solution contractuelle Cette solution a t reprise dans la directive 95 46 CE et figure d sormais express ment dans la loi du 6 janvier 1978 e Quelle est la qualification applicable transfert de responsable de traitement responsable de traitement ou transfert de responsable de traitement sous traitant Cet exercice de qualification pr alable conditionnera le type de contrat que les parties devront conclure entre elles Sur ce point se reporter Le destinataire est il responsable de traitement ou sous traitant e Qu est ce que les clauses contractuelles types de la Commission europ enne Afin de faciliter la t che des responsables de traitement dans la mise en uvre de contrats de transfert la Commission europ enne a mis des clauses contractuelles types pouvant tre utilis es par les responsables de traitement l origine du transfert de donn es et les destinataires de ces donn es pour encadrer ce transfert Pour les transferts de responsables de traitement sous traitants la Commission europ enne n a mis qu une seule d cision le 27 d cembre 2001 Pour les transferts de responsables de traitement responsables de traitement la Commission europ enne a mis deux d cisions la premi re le 15 juin 2001 la seconde le 7 janvier 2005 Les ensembles de clauses types mises par ces d
60. s potentiels r sultant d une action judiciaire intent e leur encontre par une personne qui aurait subi un dommage du fait d un manquement une de leurs obligations contractuelles Annexe 1 des clauses types annexe pr cisant le d tail du transfert Les clauses contractuelles types exigent que soient fournies dans cette annexe tout le moins les informations suivantes les autorit s nationales de contr le tant libres de demander plus d informations si elles l estiment n cessaire identification du responsable de traitement tabli en France exportateur et du ou des destinataire s importateur s Cat gories de personnes concern es par les donn es transf r es Finalit s du transfert 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 20 REPUBLIQUE FRAN AISE Cat gories de donn es transf r es Donn es sensibles le cas ch ant _ Destinataires des donn es Dur es de conservation La CNIL pr conise une r daction sp cifique quand le contrat porte sur plusieurs types de transferts il convient alors de fournir les d tails de chaque transfert dans diff rentes annexes chacune d entre elles correspondant une finalit de transfert ex gestion de la client le administration d un programme de stock options gestion de la paie etc Cette solution permet de distinguer clairement quelles circonstances s
61. sey D cision de la Commission 2008 393 CE du 8 Mai 2008 La Suisse D cision de la Commission 2000 518 EC du 26 juillet 2000 Le cas particuliers des entreprises am ricaines adh rentes au Safe Harbor D cision de la Commission 2000 520 EC du 26 juillet 2000 Se reporter Qu est ce que le Safe Harbor Voir Sur le site de la Commission europ enne D cisions de la Commission europ enne relative la constatation du caract re ad quat de la protection des donn es dans les pays tiers Le document tabli par la CNIL Panorama des l gislations de protection des donn es personnelles dans le monde dates et intitul s des l gislations nationales coordonn es des autorit s de contr le La carte interactive tablie par la CNIL qui vous aide d terminer le statut de protection dans le pays destinataire 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE 15 Qu est ce que le Safe Harbor Le cas particulier du dispositif dit de Safe Harbor ou Sph re de s curit repose sur une d marche volontaire d entreprises tablies aux Etats Unis qui s auto certifient comme adh rant une s rie de principes de protection des donn es personnelles et de protection de la vie priv e publi s par le minist re du commerce des tats Unis Ces principes n goci s entre les autorit s am ricaines et la Comm
62. sferts de donn es vers des membres de l organisation tablis dans des pays n appartenant pas l Union europ enne Les r gles internes constituent pour les groupes un moyen souvent plus flexible que les contrats d encadrer les communications de donn es personnelles en leur sein En effet de telles r gles adopt es de mani re unilat rale par les plus hautes instances d cisionnelles du groupe en la mati re vitent de conclure autant de contrats qu il existe de transferts en leur sein ce qui impliquerait que chaque soci t pouvant tre originaire ou destinataire de donn es elle ait conclure un contrat avec chacune des autres entit s du groupe qui se retrouveraient dans la m me situation e Comment tablir des r gles internes Le groupe de l article 29 a adopt un document de travail sur ces questions dit document WP 74 Ce document d termine les conditions g n rales dans lesquelles de telles r gles internes doivent tre labor es et les grandes lignes du contenu de ces r gles Le contenu de ce document a t ult rieurement pr cis par un autre document du groupe de l article 29 dite model checklist document WP 108 disponible en anglais seulement l heure actuelle 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE 22 Les l ments essentiels que doivent pouvoir tablir les responsables de traitement souhai
63. ssaire certaines conditions 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE CNiE Quand consid re t on qu il y a un transfert de donn es caract re personnel La notion de transfert n est d finie ni par la directive 95 46 ni par la loi du 6 janvier 1978 mais doit s entendre au sens large Constitue ainsi un transfert de donn es vers un pays tiers toute communication copie ou d placement de donn es par l interm diaire d un r seau ou toute communication copie ou d placement de ces donn es d un support un autre quel que soit le type de ce support dans la mesure o ces donn es ont vocation faire l objet d un traitement dans le pays destinataire Un traitement est lui m me d fini par la loi comme toute op ration ou ensemble d op rations effectu es ou non l aide de proc d s automatis s et appliqu es des donn es caract re personnel telles que la collecte l enregistrement l organisation la conservation l adaptation ou la modification l extraction la consultation l utilisation la communication par transmission diffusion ou toute autre forme de mise disposition le rapprochement ou l interconnexion ainsi que le verrouillage l effacement ou la destruction Les exemples suivants illustrent quelques situations dans lesquelles se produiront des transferts internationaux de donn es aura lieu en appli
64. sses osssesssssscastcsssso sesssse ses e 37 Les cat gories de donn es transf r es esseescessescoescessecccesocsseecoesccsscesoesccsscesceccoesocsseeccesocsseesoesoe 38 La ou les cat gories de destinataires essesecsseessescossccsseecoesocsscesoesocsscesoescosseesoescossecssescossocsoeescesoe 38 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 REPUBLIQUE FRAN AISE CNik c stion Notionole de Hai A quelles conditions le transfert peut il s effectuer Le principe la n cessit d une protection suffisante dans le pays d tablissement du destinataire L article 25 de la directive 95 46 et l article 68 de la nouvelle loi pr voient qu un responsable d un traitement ne peut transf rer des donn es caract re personnel vers un tat n appartenant pas la Communaut europ enne dit pays tiers que si cet tat assure un niveau de protection ad quat ou suffisant de la vie priv e et des libert s et droits fondamentaux des personnes l gard du traitement dont ces donn es font l objet ou peuvent faire l objet La Commission europ enne a le pouvoir de reconna tre qu un pays accorde une protection ad quate ou suffisante dans une d cision prise cet effet d nomm e d cision d ad quation A ce jour la Commission europ enne a pris plusieurs d cisions dans ce sens A consulter Sur le site de la Commission europ
65. tant faire valider leurs r gles internes dans le cadre d une autorisation de transfert sont les suivants le caract re contraignant des r gles doit tre tabli en interne et en externe des mesures doivent tre prises qui assurent l application des r gles internes en pratique dans l organisation les personnes doivent avoir la possibilit de se pr valoir de l existence de ces r gles les r gles internes doivent d crire avec suffisamment de pr cision les transferts couverts par les r gles et les traitements correspondants afin d offrir une sorte de mode d emploi de la protection des donn es personnelles au sein de l entreprise pour les personnes appel es en traiter des garanties doivent tre prises pour que les principes de la protection des donn es personnelles soient appliqu s en pratique dans le groupe information des personnes s curit des donn es droit d acc s respect du principe de finalit etc Il est vident que de telles r gles internes ne pourront trouver s appliquer que dans la mesure o elles respectent l ensemble des l gislations applicables dans chacun des pays dans lesquels les entit s du groupe seront appel es op rer des traitements de donn es personnelles D s lors les r gles internes ayant vocation servir de norme g n rale toutes les entit s d un groupe multinational dans quelques pays qu elles soient tablies ces r g
66. tion des clauses contractuelles types essentiellement pour les avantages qu elles repr sentent en terme de s curit juridique D une part d s lors que le transfert peut tre consid r comme l gitime et que les clauses contractuelles types sont mises en uvre de mani re satisfaisante clauses reprises in extenso annexes compl tes etc les autorit s europ ennes de protection des donn es personnelles dont la CNIL sont tenues de consid rer que le transfert a lieu dans des conditions satisfaisantes au regard des droits des personnes dont les donn es sont transf r es article 26 4 de la directive la s curit juridique en d coulant est donc maximum D autre part les autorit s europ ennes de protection des donn es personnelles sont tenues d informer la Commission europ enne et les autres Etats membres des autorisations de transfert qu elles accordent aux responsables de traitement Au cas o la Commission ou l un de ces Etats manifesterait son d saccord avec cette autorisation la Commission europ enne sera seule comp tente pour d cider de la solution finale appliquer article 26 3 de la directive L utilisation des clauses contractuelles types limite donc les incertitudes et les risques de blocage induits par cette proc dure En tout tat de cause un contrat autre qu un contrat bas sur les clauses contractuelles types devrait reprendre au moins l essentiel si ce n est toutes les garant
67. tion est particuli rement importante Elle impose au pr alable que la personne concern e ait t correctement inform e des circonstances sp cifiques du transfert finalit du transfert identit et coordonn es du ou des destinataires etc en application du principe g n ral de loyaut L information des personnes doit galement comprendre le risque sp cifique r sultant du fait que les donn es les concernant seront transf r es vers un pays n assurant pas une protection ad quate Seule cette information permettra ces personnes de consentir en pleine connaissance de cause si elle n est pas fournie la d rogation ne s appliquera pas Il s av re que le consentement est parfois compliqu obtenir pour des probl mes pratiques notamment quand le responsable de traitement et les personnes concern es ne sont pas en contact direct Quelles que puissent tre ces difficult s le responsable de traitement doit pouvoir tablir en toutes circonstances qu il a d une part obtenu le consentement de chaque personne concern e et d autre part que ce consentement a t donn sur la base d informations suffisamment pr cises incluant l absence de protection dans les pays tiers Qu est ce qu un transfert n cessaire la sauvegarde de la vie de la personne concern e Un transfert de donn es sera de toute vidence n cessaire la sauvegarde de la vie de la personne concern e quand il sera motiv pa
68. tiques relatives au dispositif du Safe Harbor liste des entreprises adh rentes principes de protection comment devenir adh rent etc http www export gov safeharbor Les responsables de traitement tablis en France dont les formalit s pr alables aupr s de la CNIL mentionnent l existence d un transfert de donn es vers une soci t adh rente au Safe Harbor devront fournir la Commission les extraits pertinents de la Safe Harbor List disponible sur ce site Cette liste permet d avoir acc s aux d tails de l auto certification de la soci t adh rente La d cision de la Commission y compris une liste des questions fr quemment pos es FAQ sur le dispositif de Safe Harbor annexe 2 de la d cision est disponible sur le site de la Commission europ enne et peut tre t l charg e en cliquant ici D cision de la Commission europ enne sur le Safe Harbor 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 16 REPUBLIQUE FRAN AISE CNiE Quel contrat utiliser pour encadrer un transfert international de donn es et comment le mettre en uvre e Que pr voit la loi La loi pr voit qu un responsable de traitement envisageant de transf rer des donn es caract re personnel vers un destinataire tabli dans un pays n accordant pas une protection ad quate pourra se reposer pour ce faire sur des clauses contractuelle
69. traitement peut cependant transf rer des donn es caract re personnel vers un Etat n accordant pas une protection ad quate si o la personne laquelle se rapportent les donn es a consenti express ment leur transfert o ou si le transfert est n cessaire l une des conditions suivantes 1 A la sauvegarde de la vie de cette personne 2 A la sauvegarde de l int r t public 3 Au respect d obligations permettant d assurer la constatation l exercice ou la d fense d un droit en justice 4 A la consultation dans des conditions r guli res d un registre public qui en vertu de dispositions l gislatives ou r glementaires est destin l information du public et est ouvert la consultation de celui ci ou de toute personne justifiant d un int r t l gitime 5 A l ex cution d un contrat entre le responsable du traitement et l int ress ou de mesures pr contractuelles prises la demande de celui ci 6 A la conclusion ou l ex cution d un contrat conclu ou conclure dans l int r t de la personne concern e entre le responsable du traitement et un tiers Attention Ces exceptions n ont vocation s appliquer que dans des cas limit s Sur le champ d application de ces exceptions se reporter la question 9 Dans quelles conditions utiliser les exceptions des alin as 1 7 de l article 69 de la loi consentement de la personne ou transfert n ce
70. ues cas exceptionnels o si ceux ci voulaient le retirer ult rieurement ils n en subiraient aucune cons quence a Le consentement doit tre sp cifique Pour constituer une base l gale valable un ventuel transfert de donn es le consentement donn par la personne doit tre sp cifiquement donn sur la question du transfert lui m me Si la personne est appel e consentir plusieurs points chacun d eux doit faire l objet d une manifestation de volont distincte r pondant chacune des conditions pr vues dans la directive et dans la loi consentement libre sp cifique et inform 8 rue Vivienne CS 30223 75083 Paris Cedex 02 T l 01 53 73 22 22 Fax 01 53 73 22 00 29 REPUBLIQUE FRAN AISE CNik c stion Nationale de Hai Le consentement devant tre sp cifique il serait ill gal d obtenir le consentement des personnes a priori par anticipation d un transfert futur dont la survenance ou les circonstances pr cises ne sont pas acquises au jour o le consentement des personnes est requis A titre d exemple une soci t ne pourra pas au moment o elle collectera les donn es de ses clients pour une finalit pr cise demander ceux ci de consentir par anticipation au transfert de leurs donn es vers des pays tiers dans l ventualit o cette soci t se ferait hypoth tiquement racheter par une soci t tierce a Le consentement doit tre inform L exigence d informa
Download Pdf Manuals
Related Search