Amendement N° 10 rectifié (Rejeté)

Par dérogation au principe prévu à l'article 68 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique aux termes duquel un responsable d'un traitement ne peut transférer des données à caractère personnel vers un État tiers à l'Union européenne qui ne présente pas un niveau de protection adéquat ou suffisant de la vie privée des personnes dont les données font l'objet du transfert, l'avant-dernier alinéa de l'article 69 de la même loi offre à la Commission nationale de l'informatique et des libertés (CNIL) la faculté d'autoriser un tel transfert « lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l'objet » .

Cette dérogation s'applique non seulement aux traitements de données à caractère personnel mis enoeuvre par le secteur privé mais également à ceux mis enoeuvre par le secteur public. En l'état actuel de la loi du 6 janvier 1978, ces demandes de transfert doivent systématiquement faire l'objet d'un examen individuel en séance plénière de la Commission.

Depuis la publication de la directive 24 octobre 1995, la Commission européenne a adopté et défini deux instruments juridiques (clauses contractuelles types et règles internes) permettant aux entreprises qui recourent de façon croissante aux transferts de données d'externaliser certaines tâches en toute sécurité (sous-traitance informatique d'opérations de saisie de feuilles de paie, de fichiers de clients ou encore de gestion d'annuaires). Le recours à ces instruments juridiques est désormais la règle pour les entreprises en matière de transferts internationaux de données vers des pays n'accordant pas une protection considérée comme adéquate.

Ceci étant précisé, il est utile de rappeler que le législateur a toujours considéré que le caractère collégial de la CNIL participe des garanties fondamentales offertes par la loi du 6 janvier 1978 pour la protection des données à caractère personnel. Par conséquent, il est essentiel que les dérogations consenties au principe d'interdiction du transfert de données soient placées sous le contrôle de la collégialité de manière à instaurer un débat contradictoire entre les membres de la CNIL dès lors qu'il s'agit d'adopter une décision de nature à affecter substantiellement la protection des droits et libertés des personnes dont les données à caractère personnel sont transférées. En effet, il y aurait un véritable risque à ne pas contrôler des transferts aussi délicats que ceux portant, par exemple, sur des données de santé ou des données relevant de la recherche.

Le présent amendement a donc pour objet, s'agissant des traitements du secteur privé, d'alléger les procédures devant la CNIL tout en garantissant aux citoyens la nécessité de prendre une décision collégiale en matière de transfert de données à caractère personnel. Cette décision collégiale émanerait désormais du bureau de la commission, qui est composé du président et des deux vice-présidents de la CNIL, et non plus, comme c'est le cas aujourd'hui, de la formation plénière de la CNIL.

Cette mesure de simplification permettra ainsi aux entreprises d'obtenir dans des délais rapides une réponse à leurs demandes dans le respect des droits et libertés des individus dont les données à caractère personnel sont transférées.