Procédure Juridique de mise en place d une base de données biométriques

Transcription

1 Procédure Juridique de mise en place d une base de données biométriques Par Anne-Gaëlle LEFEBVRE Pour l Association BioSEcure Juin 2009

2 Table des Matières TABLE DES MATIERES...2 INTRODUCTION :...3 MODALITE LEGALE DE MISE EN PLACE D UNE BASE DE DONNEES BIOMETRIQUE...4 QUALITE DES DONNEES CONSERVEES...4 LEGITIMATION DE LA MISE EN PLACE D UN SYSTEME DE TRAITEMENT DES DONNEES...4 o Cas généraux :...4 o L autorisation de la personne concernée :...5 o Information à transmettre aux personnes concernées :...5 DECLARATION/AUTORISATION AUPRES DE LA CNIL :...5 DROIT D ACCES, DE RECTIFICATION ET D OPPOSITION DES PERSONNES A QUI APPARTIENNENT LES DONNEES...6 LE TRANSFERT DE LA BASE DE DONNEES BIOMETRIQUES VERS D AUTRES PAYS...7 VERS LES PAYS DE L UNION EUROPEENNE ET DE L ESPACE ECONOMIQUE EUROPEEN :...8 VERS LA SUISSE, LE CANADA, L ARGENTINE, JERSEY, GUERNESEY, ET L ILE DE MAN :...9 o Cas généraux :...9 o L exception du canada :...10 VERS LES ETATS-UNIS SOUS CONDITION D ADHESION AUX «SAFE HARBOR PRIVACY PRINCIPLES» :...10 VERS LES AUTRES PAYS TIERS A L UNION EUROPEENNE ET NE BENEFICIANT PAS D UN NIVEAU DE PROTECTION ADEQUAT :...12 o La réalisation d un contrat de flux-transfrontière de données...12 L utilisation des clauses contractuelles types Clauses complémentaires o L information préalable des personnes...13 o La demande d autorisation auprès de la CNIL...13 LES DEROGATIONS AUTORISANT LE TRANSFERT VERS UN PAYS TIERS N ASSURANT PAS UN NIVEAU ADEQUAT DE PROTECTION...14 o Utilisation des dérogations...14 o Interprétation stricte des dérogations...15 o L autorisation de la personne pour le transfert...15 LA NOMINATION D UN CORRESPONDANT INFORMATIQUE ET LIBERTE Juin 2009

3 Introduction : Les données biométriques d une personne sont aujourd hui considérées comme des données sensibles et rentrent donc dans le champ d application de la protection des données personnelles. La convention 108, prise dans le cadre du conseil de l Europe en date du 28 janvier , est la première convention à avoir mis en place des règles en matière de protection des données. La définition de données personnelles est donnée par la directive européenne de et reprise par l article 2 alinéa 2 de la loi Informatique et Liberté de modifié en , qui en donne la définition suivante :«Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.» Les données biométriques en ce qu elles permettent directement et indirectement l identification d une personne constituent des données personnelles et sont donc protégées en tant que telles. La plupart du temps ces données lorsqu elles sont collectées sont regroupées dans une base de données. Cependant la mise en place d un tel traitement est soumise à certaines formalités et procédures. Un Traitement de données ou plus communément appelés base de données comprend un ensemble de données personnelles qui sont classé de façon à permettre l identification d une personne par exemple. 1 Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel 2 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données : 3 Loi n du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : #LEGISCTA Loi n du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : Juin 2009

4 Modalité légale de mise en place d une base de données biométrique Qualité des données conservées L article 6 de la directive de 1995 repris à l article 6 de la loi informatique et liberté du 6 janvier 1978, prévoit les conditions auxquelles les données conservées doivent satisfaire. Ces conditions sont notamment relative à leur collecte qui doit être loyale et licite, mais aussi avec une finalité définie et légitime. «1 Les données sont collectées et traitées de manière loyale et licite ; 2 Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s'il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu'aux chapitres IX et X et s'il n'est pas utilisé pour prendre des décisions à l'égard des personnes concernées ; 3 Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; 4 Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ; 5 Elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.» Légitimation de la mise en place d un système de traitement des données o Cas généraux : Un système de traitement automatisé de données doit être légitime dans sa mise en place. Les cas restrictifs sont prévus à l article 7 de la directive de 1995 repris dans l article 7 de la loi informatique et liberté du 6 janvier «Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes : 1 Le respect d'une obligation légale incombant au responsable du traitement ; Juin 2009

5 2 La sauvegarde de la vie de la personne concernée ; 3 L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ; 4 L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ; 5 La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.» o L autorisation de la personne concernée : L une des conditions les plus simples à remplir est d avoir l autorisation de la personne dont on veut collecter les données personnelles. Pour que l autorisation de la personne soit valable il faut que celle-ci respecte les conditions de n importe quel contrat. En effet, la personne doit donner son autorisation en toute connaissance de cause et son acceptation doit être explicite et non présumée. L absence de refus de la non collecte ne peut pas être suffisant. Les grandes caractéristiques qui conditionnent la validité de l autorisation sont expliquées plus bas pour l autorisation donnée par la personne concernée au transfert de ces données vers un pays tiers ne bénéficiant pas d une protection adéquate. o Information à transmettre aux personnes concernées : Il existe des obligations en termes d information des personnes concernées qui reposent sur le responsable du traitement. Celles-ci sont prévues à l article 10 de la directive de 1995 et reprises à l article 32 5 de la loi informatique et liberté de L information principale qui doit être transmise à la personne concernée est l identité du responsable du traitement pour que celui-ci puisse le contacter pour exercer par exemple son droit d accès de rectification et de suppression. La personne doit également être informée en cas de transferts envisagés vers un état non membre de la communauté européenne. Déclaration/autorisation auprès de la CNIL : La CNIL (Commission Nationale de l Informatique et des Libertés) a été instituée par la loi Informatique et Liberté de Elle fait l objet du chapitre III de cette même loi. C est une autorité administrative indépendante qui n est donc pas subordonnée à l état C7F5A2F.tpdjo15v_3?idArticle=LEGIARTI &cidTexte=LEGITEXT &dat etexte= Juin 2009

6 Dans le cadre de la législation sur la protection des données c est auprès d elle qu il faut déclarer toute base de données. En ce qui concerne le traitement de données sensibles, cette déclaration se transforme en autorisation. C est le cas pour les données biométriques qui doivent faire l objet d une autorisation préalable de la part de la CNIL 6. Pour faciliter les démarches, la CNIL a mis en place un seul formulaire commun 7 aux autorisations et aux déclarations normales. Celui-ci doit être envoyé avec accusé de réception à la CNIL : Commission Nationale de l'informatique et des Libertés 8, rue Vivienne CS Paris cedex 02 Pour certains cas particuliers il peut être aussi nécessaire de joindre à la déclaration d autres documents comme par exemple des textes de loi, des statuts d association, des contrats Droit d accès, de rectification et d opposition des personnes à qui appartiennent les données En raison du caractère particulièrement sensible d un traitement de données à caractère personnel, la personne concernée par le stockage bénéficie de plusieurs droits. Le premier est le système du droit d opposition : en effet chaque personne doit pouvoir s opposer à ce que ses données fassent l objet d un traitement et même à ce que les données, pour lesquelles elle consent au traitement, soient utilisées pour toute prospection et(ou) pour un traitement ultérieur de données 8. Ce droit d opposition doit se faire pour des motifs légitimes. Les personnes, concernées par un traitement de données à caractère personnel, bénéficient d un droit d accès à ces données. Les modalités de ce droit d accès sont posées par l article 39 de la loi Informatique et Liberté et l article 12 de la directive de 1995 : «I.-Toute personne physique, justifiant de son identité, a le droit d'interroger le responsable d'un traitement de données à caractère personnel en vue d'obtenir : octobre Article 25 de la loi Informatique et Liberté de 1978 : relève d un régime d autorisation «2 Les traitements automatisés portant sur des données génétiques, à l exception de ceux d entre eux qui sont mis en œuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux ou de l administration de soins ou de traitements ;» 7 f 8 Article 38 de la loi Informatique et Liberté du 6 janvier 1978 et article 14 de la directive du Juin 2009

7 1 La confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de ce traitement ; 2 Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ; 3 Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ; 4 La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ; 5 Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l'égard de l'intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d'auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle. Une copie des données à caractère personnel est délivrée à l'intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d'une somme qui ne peut excéder le coût de la reproduction. En cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition. II.-Le responsable du traitement peut s'opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique. En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées. ( )» Le droit de rectification, dont bénéficient les personnes concernées, leur permet ainsi d avoir un contrôle sur leurs informations stockées. Elles peuvent ainsi faire rectifier, compléter, mettre à jour, verrouiller ou encore effacer «les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.» 9 Le transfert de la base de données biométriques vers d autres pays La volonté de l Union Européenne et des différents états-membres est de garantir à leurs ressortissants la même protection sur leurs données sensibles lors du transfert à des pays tiers. C est ainsi que la directive de 1995 et la loi Informatique et Liberté de 1978 a créé des catégories de pays et donc des régimes différents pour 9 Article 40 de la loi Informatique et Liberté du 6 janvier 1978 et article 12 de la directive du 24 octobre Juin 2009

8 le transfert de la base de données. Les deux grandes catégories sont les pays qui «assurent un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet» et ceux n ayant pas un niveau adéquat de protection 10. La CNIL a donc mis en place une carte interactive 11 permettant de savoir dans quelle catégorie se range tel ou tel pays. L appréciation du niveau adéquat ou non de protection de la vie privée et des libertés et droits fondamentaux peut dépendre de la création par l état d une autorité de régulation chargée du contrôle. La CNIL a effectué un panorama des différentes législations dans l ensemble des pays aussi bien en Europe que dans le reste du monde 12. Pour les pays de l Union Europèenne, la CNIL a répertorié l ensemble des autorités chargées du contrôle de la protection des données dans ce document. Quant une telle autorité existe dans un pays tiers, elle le fait figurer aussi dans ce document. Vers les pays de l Union Européenne et de l Espace Economique Européen : Aujourd hui, tous les pays faisant partie de l Union Européenne 13 ont transposé dans leurs législations nationales la directive de Ils ont en même temps, tous, mis en place une autorité chargée du contrôle et chargée de la protection de ces données. C est par exemple le cas pour l Allemagne : «la Bundesbeauftragte für den Datenschutz», ou encore pour la Pologne : «la Biuro Geneeralnego Inspektora». L ensemble de ces autorités se réunit au niveau européen au sein du groupe article 29 (dont Alex Türck (actuel président de la CNIL) est le président) qui exerce une sorte de veille en matière de protection des données personnelles. D un autre coté, il faut rajouter les pays 14 faisant partie de l Espace Economique Européen mais qui ne font pas partie de l Union Européenne lesquels ont, eux aussi, transposé la directive dans leur propre législation nationale, adoptant ainsi un niveau de protection des données personnelles égal aux pays membres de l Union Européenne. L ensemble des pays cités ci-dessus ont donc, tous, un niveau de protection adéquat et le transfert peut donc se faire sans formalité particulière. 10 Article 68 alinéa 1 de la loi informatique et liberté de 1978 et Article 25 de la Directive européenne de (Attention à la date d actualisation du document) 13 Allemagne, Autriche, Belgique, Bulgarie, Chypre, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Royaume-Uni, Slovaquie, Slovénie, Suède 14 Islande, Liechtenstein, Norvège Juin 2009

9 Vers la Suisse, le Canada, l Argentine, Jersey, Guernesey, et l île de Man : o Cas généraux : Le transfert d une base de données vers les pays cités ci-dessus ne demande plus aujourd hui de formalité particulière. En effet, ces pays ont été considérés par la commission européenne comme ayant un niveau de protection adéquat des données au vu des législations qu ils ont adoptées et qui, même si elles ne reprennent pas les mots exacts de la directive de 1995, mettent en place des règles et mesures de protections équivalentes. Ces différents pays mettent aussi en place une autorité de contrôle comme peut l être la CNIL en France. Cependant si aucune formalité particulière auprès de la CNIL n est à effectuer pour le transfert à proprement dit, ce transfert doit être mentionné à la CNIL lors des formalités préalables à ce traitement. Pays Argentine Canada (voir en dessous du tableau les précisions) Décision d adéquation de la commission Décision n 2003/490/CE du 30 juin 2003 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la loi argentine sur la protection des données à caractère personnel FR:PDF Décision n 2002/2/CE du 20 décembre 2001 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la loi canadienne sur la protection des renseignements personnels et les documents électroniques HTML Guernesey Décision n 2003/821/CE du 21 novembre 2003 constatant le niveau de protection adéquat des données à caractère personnel à Guernesey FR:PDF Ile de Man Décision n 2004/411/CE du 28 avril 2004 constatant le niveau de protection adéquat des données à caractère personnel dans l'ile de Man Juin 2009

10 FR:PDF Jersey Suisse Décision 2008/393/CE du 8 Mai 2008 constatant le niveau de protection adéquat des données à caractère personnel à Jersey FR:PDF Décision n 2000/518/CE du 26 juillet 2000 relative à la constatation, conformément à la directive 95/46/CE du Parlement européen et du Conseil, du caractère adéquat de la protection des données à caractère personnel en Suisse FR:PDF o L exception du canada : Cependant, le cas du canada nécessite quelques petites précisions. Le champ d application de la loi canadienne est restreint : il se limite à toutes les données recueillies, utilisées ou communiquées par une organisation 15 dans le cadre d une activité commerciale. La loi canadienne ne s applique pas aux organisations sans but lucratif ou caritatives. En ce qui concerne les autres dispositions, la loi canadienne est sensiblement identique à la directive de 1995 et, dans tous les cas, celles-ci offrent un niveau de protection similaire à celui mis en place au sein de l Union Européenne. La commission européenne a mis en place une FAQ 16 pour expliquer les cas de mise en œuvre de la loi canadienne et donc les cas où le transfert de données personnelles vers le Canada ne nécessite aucune formalité particulière. Dans tous les cas où le transfert n entre pas dans le champ d application de la loi canadienne, les modalités, requises pour le transfert vers un pays tiers n ayant pas un niveau de protection adéquat, relèvent donc d un régime d autorisation CNIL. Vers les Etats-Unis sous condition d adhésion aux «Safe Harbor privacy principles» : Le cas des Etats-Unis est particulier. Pour diverses raisons un accord a été conclu entre eux et la commission européenne sur la mise en place d une «sphère de sécurité» visant à favoriser le transfert de données personnelles de l Europe vers les Etats-Unis pour des raisons avant tout commerciales. En effet, beaucoup 15 Le terme organisation est entendu au sens large et désigne aussi bien une entreprise, qu une association ou encore un syndicat Juin 2009

11 d entreprises américaines collectent des données personnelles en France et sont ainsi amenées à les transférer aux Etats-Unis. Il fallait donc trouver une solution pour leur simplifier les démarches. Très vite le département du commerce américain et plus particulièrement la «National Information Agency» ont entamé des négociations avec la commission européenne et ce dès Interrompues puis reprises, elles ont finalement donné lieu à la publication par le «US department of commerce» des «safe harbor privacy principles». Ils constituent une sorte de sphère de sécurité et fonctionnent comme une sorte de label. Ces principes sont directement issus de la directive de 1995, et contiennent des principes essentiels, comme par exemple l information des personnes, la possibilité accordée à la personne concernée de s opposer à un transfert à des tiers ou à une utilisation des données pour des finalités différentes, le consentement explicite pour les données sensibles, le droit d accès ou encore la sécurité du transfert en lui-même. Ces principes permettent ainsi de donner le niveau de protection adéquat requis par la commission européenne à toute entreprise qui s y inscrit. C est une décision de la commission européenne en date du 26 juillet qui donne l équivalent du niveau de protection adéquat aux entreprises adhérant à la sphère de sécurité. Cette sphère de sécurité inclut les «safe harbor privacy principles» mais aussi les FAQ 18. Celles-ci sont au nombre de 15. Elles se présentent sous forme d interprétation de certains termes et ce n est qu à la condition que les entreprises respectent ces interprétations, que le niveau adéquat de protection est effectif. La démarche pour les entreprises qui veulent s y inscrire est simple puisqu il leur suffit d écrire une lettre informant le département du commerce que l entreprise rejoint la sphère de sécurité. Elle doit déclarer publiquement son adhésion à la «safe harbor». Elle doit en plus se trouver sous la compétence de la «federal trade commission». Cette dernière, en vertu du «federal trade commission act», est compétente pour toutes les manœuvres et les pratiques déloyales ou frauduleuses dans le domaine du commerce ou de tout autre organisme remplissant une mission analogue. Elle s est d ailleurs déclarée compétente pour étudier les plaintes venant d une personne non résidente aux Etats-Unis. Cependant la CNIL précise que lors des formalités préalables, les responsables de traitements devront «mentionner l existence d un transfert de données vers une société adhérente aux «Safe Harbor» et devront fournir à la Commission les extraits pertinents de la «Safe Harbor List», disponibles sur ce site 19. Cette liste permet d avoir accès aux détails de l auto-certification de la société adhérente.» 17 Décision n 2000/520/CE du 26 Juillet 2000, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d'amérique FAQ : «Frequently Asked Questions» 19 rt= Juin 2009

12 Les «safe harbor privacy principles 20» et les FAQ 21 qui s y rapportent sont disponibles sur le site 22 mis en place par le département du commerce américain et visent à aider les entreprises pour l exportation. Vers les autres pays tiers à l Union Européenne et ne bénéficiant pas d un niveau de protection adéquat : Le dernier niveau de protection est celui où le régime de protection des données personnelles au sein de l état de destination n est pas jugé suffisant par la commission. C est encore aujourd hui le cas pour quasiment l ensemble des pays tiers à l Union Européenne malgré une progression des normes internes visant à protéger les données personnelles. Celles-ci sont encore jugées aujourd hui comme ne conférant pas un niveau de protection adéquat aux données personnelles, sauf dans de rares cas. C est pourquoi une procédure particulière est exigée. o La réalisation d un contrat de flux-transfrontière de données La réalisation d un contrat de flux-transfrontière de données est un préalable obligatoire pour le transfert. Celui-ci a pour but de palier le manque de législation dans le pays destinataire. Il devra être transmis à la CNIL pour l autorisation de transfert. L utilisation des clauses contractuelles types est grandement recommandée par la CNIL, cependant leur utilisation n est pas obligatoire. En effet tout contrat, comme des règles internes d entreprises, peut être utilisé s il garantit un niveau suffisant de protection. Il est recommandé pour favoriser l autorisation de la CNIL de fournir un tableau de concordance entre les clauses contractuelles type de la commission et le contrat soumis à la CNIL si celui-ci est différent des clauses contractuelles types. L utilisation des clauses contractuelles types Vu le nombre de pays n ayant pas un niveau de protection suffisant, la commission a mis en place des clauses contractuelles types qui sont conformes avec les exigences de la législation européenne. Elles sont disponibles dans toutes les langues européennes 23. Elles se trouvent en annexe de la décision sur la mise en Juin 2009

13 place de ces clauses. Elles sont disponibles en deux versions, l une datant de et l autre de Ces clauses (dans leurs deux versions) sont aujourd hui reconnues par la CNIL et telles quelles permettent d obtenir l autorisation de la CNIL. Certaines clauses complémentaires peuvent être ajoutées. Cependant elles ne doivent pas dénaturer le reste et amoindrir le niveau de protection conféré aux données sinon le transfert sera refusé par la CNIL. Clauses complémentaires Certaines clauses complémentaires peuvent être ajoutées comme par exemple la désignation d un tribunal compétent et de la loi applicable, en cas de litiges. On peut aussi inclure une clause pour le recours à l arbitrage international. Certaines clauses peuvent aussi prévoir le montant d indemnisation des parties en cas de non respect du contrat. Elles peuvent aussi limiter le champ d utilisation de la base. o L information préalable des personnes Les personnes doivent être informées avant tout transfert de la base à des pays ne bénéficiant pas d un niveau de protection adéquat. o La demande d autorisation auprès de la CNIL Selon l article 69 alinéa 8, tout transfert de données ou de fichiers de données à caractère personnel vers un pays tiers et n ayant pas un niveau suffisant de protection des données, doit faire l objet d une autorisation préalable, au début du transfert, de la part de la CNIL. Cette autorisation est obtenue après l envoi de deux formulaires à la CNIL : Le premier est le document de déclaration normale 26 au format papier et non le formulaire en ligne Le deuxième est un formulaire spécifique au transfert de données hors UE Version anglaise des clauses de 2001 en version PDF : 25 Version anglaise des clauses de 2004 en version PDF : df Juin 2009

14 L ensemble de ces documents est à envoyée à la CNIL : Commission Nationale de l'informatique et des Libertés 8, rue Vivienne CS Paris cedex 02 Les dérogations autorisant le transfert vers un pays tiers n assurant pas un niveau adéquat de protection Il existe des dérogations prévues dans la directive de et reprises à l article 69 de la loi de 1978 qui autorisent le transfert vers un pays n assurant pas un niveau de protection adéquat : «Toutefois, le responsable d'un traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues à l'article 68 si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l'une des conditions suivantes : 1 A la sauvegarde de la vie de cette personne ; 2 A la sauvegarde de l'intérêt public ; 3 Au respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice ; 4 A la consultation, dans des conditions régulières, d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ; 5 A l'exécution d'un contrat entre le responsable du traitement et l'intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ; 6 A la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers.» o Utilisation des dérogations La volonté de la CNIL, du groupe article 29 et de la commission, est de conférer aux personnes titulaires des données une protection identique quel que soit le pays où elles sont transférées. Or l utilisation des différentes dérogations implique une absence totale de protection si le pays dans lesquelles elles sont transférées n a pas adopté de législation dans ce domaine L article 26-1 de la directive de Juin 2009