La protection des données en Europe et dans le monde
Enfin, la tenue de la XXIIIe conférence internationale des commissaires à la
protection des données organisée cette année à Paris du 24 au 26 septembre 2001
et à laquelle ont participé des représentants de plus de cinquante États a confirmé
que des responsables de pays de plus en plus nombreux, quel que soit le niveau de
développement du pays concerné, son continent ou son hémisphère, parfaitement
conscients des enjeux en cause, sont demandeurs de coopérations en cette matière.
En outre, la conférence internationale des commissaires à la protection des données
s’est dotée, cette année, de règles qui lui permettront à l’avenir d’adopter des résolutions communes susceptibles d’être rendues publiques au plan mondial.
Après les événements du 11 septembre, cette conférence fut la seule de
niveau international au cours de ce même mois. La tenue de plusieurs des sessions,
auxquelles participaient non seulement des commissaires à la protection des données mais également des représentants tant d’administrations, d’entreprises que
d’associations de défense des Droits de l’homme, notamment en provenance des
États-Unis, constituait à elle seule une réponse aux conséquences que pouvaient
laisser craindre les événements par l’apport d’analyses précises, de réflexions et la
nécessité exprimée de modération à l’égard d’une tendance au « tout sécuritaire ».
I. LA RÉGULATION DES FLUX
DE DONNÉES PERSONNELLES
VERS LES PAYS TIERS
La directive européenne 95/46/CE sur la protection des personnes à
l’égard du traitement de données à caractère personnel et à la libre circulation de
ces données a établi les bases d’une politique juridique commune destinée à prévenir
le contournement de la législation harmonisée dans l’Union européenne à l’occasion
des échanges mondiaux. On se reportera à ce sujet notamment au 18e rapport annuel de la CNIL, page 120, et aux rapports suivants sur le principe du niveau de protection adéquat des pays tiers destinataires et ses exceptions.
Sur ce point, la Commission européenne a eu recours à la même procédure
que celle utilisée les années précédentes pour reconnaître le niveau de protection
adéquat de pays dits « tiers ». Tel fut le cas les années précédentes pour la Suisse, la
Hongrie et pour le dispositif particulier dit de la « sphère de sécurité », ou « Safe
Harbor », auxquelles peuvent adhérer les entreprises américaines 1. Cette procédure nécessite le recueil de l’avis des commissaires à la protection des données
(groupe institué par l’article 29 de la directive) et des États membres (comité dit de
l’article 31). Elle a ainsi été appliquée le 20 décembre 2001 (JOCE du 4 janvier
2002) par la Commission européenne pour reconnaître le niveau de protection adéquate assuré au Canada dans les secteurs d’activités régis par la loi sur la protection
1 20e rapport annuel d’activité de la CNIL, page 200. A ce jour plus de 180 entreprises ont adhéré à ce dispositif, dont Dun et Bradstreet, Hewlet Packard, Intel, et en 2001 Microsoft.
174
e
CNIL 22 rapport d'activité 2001