Fiche pratique

Transfert de données à caractère personnel

Le transfert de données à caractère personnel nécessite de respecter certaines conditions. En revanche, il est en principe interdit de collecter les  données à caractère sensible.

Quelles sont les règles ?

Les conditions de transfert des données à caractère personnel

Une donnée à caractère personnel se définit comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » (loi n° 78-17 du 6 janvier 1978, article 2).

En principe, le transfert de données à caractère personnel vers un État n’appartenant pas à l’Union européenne est interdit (loi n°78-17 du 6 janvier 1978, article 68 ). Plus précisément, il s’agit d’États qui n’appliquent pas les dispositions de la directive 95/46/CE du 24 octobre 1995.

Cependant, ce transfert vers un État hors Union européenne est possible dans les cas suivants :

  • si le transfert a lieu vers un pays reconnu par la Commission européenne comme offrant « un niveau de protection des données suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet. » ;
  • si, dans le cas d’un transfert vers les États-Unis, l’entreprise destinataire a adhéré au Safe Harbor ;
  • si deux entreprises ont signé des clauses contractuelles types approuvées par la Commission européenne ;
  • si des règles internes d’entreprise (ou BCR) ont été adoptées ;
  • dans les cas énumérés à l’article 69 de la loi n°78-17 du 6 janvier 1978.

Selon l’article 69 précité, le transfert vers un État hors Union européenne ou non précédemment cité, est possible :

  • si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ;
  • ou si le transfert est nécessaire à l’une des conditions suivantes :
  1. à la sauvegarde de la vie de cette personne ;
  2. à la sauvegarde de l’intérêt public ;
  3. au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
  4. à la consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;
  5. à l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures pré-contractuelles prises à la demande de celui-ci ;
  6. à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers.

Tout transfert de données est soumis aux dispositions de la loi n°78-17 du 6 janvier 1978 :

  • le traitement doit avoir régulièrement fait l’objet des formalités préalables auprès de la CNIL ;
  • tout transfert de données vers l’étranger doit avoir une finalité déterminée, explicite et légitime ;
  • les données transférées ne doivent pas être traitées ultérieurement de manière incompatible
    avec cette finalité ;
  • les données transférées doivent être adéquates, pertinentes et non excessives au regard de la ou des finalités pour lesquelles elles sont transférées.

Le principe d’interdiction de collecte de données sensibles

Au sens de l’article 8 de la loi du 6 janvier 1978 modifiée, sont considérées comme sensibles : les « données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ».

Il est interdit de collecter ou de traiter de telles données.

Le non respect de cette interdiction est passible de sanctions pénales.

Néanmoins, il est possible de déroger à cette interdiction dans les cas prévus par l’article 8 de la loi précitée :

  • les traitements pour lesquels la personne concernée a donné son consentement exprès ;
  • les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement ;
  • les traitements nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice ;
  • les traitements nécessaires aux fins de médecine préventive et les traitements nécessaires à la recherche dans le domaine de la santé ;
  • les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical pour la gestion de ses membres ou des personnes qui entretiennent avec l’organisme des contacts réguliers dans le cadre de son activité ;
  • les traitements réalisés par l’Insee ou les services statistiques ministériels ;
  • les traitements faisant l’objet d’un procédé d’anonymisation « à bref délai » reconnu conforme par la CNIL ;
  • les traitements données ayant été rendues publiques par la personne concernée ;
  • les traitements justifiés par l’intérêt public.

À noter : dans certains cas, la loi prévoit que l’interdiction de collecte de données sensibles ne peut être levée par le consentement de la personne concernée. Il est alors impossible de déroger à cette interdiction.

En savoir plus

Cadre légal

Directive n°95/46/CE du 24 octobre 1995.
Loi n°78-17 du 6 janvier 1978.
Décret n°2005-1309 du 20 octobre 2005.

Les États reconnus comme offrant un niveau de protection de données suffisant

Ces États font l’objet d’une liste sur le site de la CNIL, susceptible d’évoluer.
Il s’agit d’Andorre, de l’Argentine, du Canada, des Iles Féroé, de l’Ile de Man, de Guernesey, de Jersey, d’Israël, de l’Uruguay et de la Suisse.

SAFE HARBOR et BCR

Le Safe Harbor est « un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines et la Commission européenne en 2001.
Les entreprises établies aux Etats-Unis adhèrent à ces principes auprès du Département du Commerce américain. Cette adhésion les autorise à recevoir des données en provenance de l’Union européenne. » (source : site de la CNIL)
Pour aller plus loin : http://www.cnil.fr/vos-obligations/transfert-de-donnees-hors-ue/safe-harbor/

« Les Binding Corporate Rules (BCR) constituent un code de conduite, définissant la politique d’une entreprise en matière de transferts de données. Les BCR permettent d’offrir une protection adéquate aux données transférées depuis l’Union européenne vers des pays tiers à l’Union européenne au sein d’une même entreprise ou d’un même groupe. » (source : site de la CNIL)
Pour aller plus loin : http://www.cnil.fr/vos-obligations/transfert-de-donnees-hors-ue/les-bcr/

Mémo sur la communication des données

Les informations publiques comprenant des données à caractère personnel ne sont communicables, quelques soient la destination, que si au moins l’une des trois conditions suivante est remplie (article L.312-1-2 du Code des relations entre le public et l’administration) :
•    les personnes concernées ont donné leur consentement après avoir été informées sur la finalité et les modalités de la communication ou de la réutilisation des données les concernant ;
•    la réutilisation est autorisée par un texte législatif ou réglementaire ;
•    les données sont anonymisées (c’est-à-dire qu’il n’est plus possible d’identifier les personnes concernées).

ATTENTION

Certains traitements de données à caractère personnel nécessitent une autorisation préalable de la CNIL. C’est notamment le cas des transferts de données hors de l’union européenne et de certaines données à caractère sensible.