Annexe 7
dispositions ont été prises pour préserver la confidentialité et la sécurité des données
traitées.
Sénat
Question nº : 34256, de M. Trégouët René, ministère de dépôt : Affaires européennes
Réponse publiée au JO le : 09 août 2001 (page : 2599)
Intégrité des données informatiques personnelles
Question : M. René Trégouët rappelle à l’attention de M. le ministre délégué chargé des Affaires européennes les déclarations faites fin juin dernier par un
responsable américain du commerce extérieur invitant l’Union européenne à rechercher une alternative au modèle de contrat récemment adopté par les États membres
pour garantir l’intégrité des données informatiques personnelles envoyées vers des
pays extérieurs. Les options permises par ce modèle sont selon lui trop limitées. Une
telle invitation est-elle envisageable pour le gouvernement français ?
Réponse : l’honorable parlementaire a bien voulu appeler l’attention du
ministre délégué chargé des affaires européennes sur les déclarations faites en juin
dernier par un responsable américain du commerce extérieur invitant l’Union européenne à rechercher une alternative au modèle de contrat récemment adopté par les
États membres pour garantir l’intégrité des données informatiques personnelles envoyées vers des pays extérieurs, les options permises par ce modèle étant selon lui
trop limitées. L’hypothèse d’une possible évolution de ce type de contrat doit être replacée dans le contexte de l’accord entre l’Union européenne et les États-Unis sur la
question de la protection des données personnelles. La directive européenne
95/46/CE relative à la protection des personnes physiques à l’égard du traitement
des données à caractère personnel et à la libre circulation de ces données prévoit en
effet un régime très protecteur des individus pour les données collectées, traitées et
utilisées à l’intérieur de l’Union. Elle prévoit, en outre, le cas des transferts de données à caractère personnel collectées dans l’Union vers des pays tiers. Aux termes de
l’article 25, le transfert ne peut avoir lieu que si « le pays tiers en question assure un
niveau de protection adéquat » (qui n’implique d’ailleurs pas une protection « équivalente » à celle offerte par la directive aux transferts de données entre États membres de l’Union). Lorsque ce niveau de protection n’est pas atteint, la Commission
peut alors engager des négociations avec lui en vue de remédier à la situation (article 25-5). C’est en vertu de ces dispositions que la Commission a engagé une négociation avec les États-Unis. En effet, ceux-ci s’en remettent davantage à
l’autorégulation du secteur pour la protection de la vie privée. Ce cadre juridique
plus « laxiste », dans le contexte de la société de l’information, a pu favoriser le développement d’un commerce lucratif, non toujours exempt de dérives : exploitation de
fichiers de sécurité sociale par des compagnies d’assurance ; des fichiers de cartes
de crédit (avec le détail des opérations) par des sociétés de marketing, etc. Cette dérive commerciale est fortement aggravée par le développement d’Internet qui facilite
le recoupement de fichiers et la construction de banques de données personnelles, à
partir d’informations collectées sur la toile par de puissants moteurs de recherche. La
Federal Trade Commission a d’ailleurs publié un rapport constatant l’insuffisance des
mécanismes d’autorégulation en matière de protection de la vie privée sur Internet et
recommandant au congrès l’élaboration d’une nouvelle législation plus protectrice.
Afin de concilier leurs logiques juridiques contraires, l’Union européenne et les
États-Unis se sont accordés en juin 2000 sur un mécanisme de « safe harbors » (zo-
e
CNIL 22 rapport d'activité 2001
301