Delphine Batho
Question N° 29302 au Ministère de l'Industrie
Question soumise le 5 août 2008
Mme Delphine Batho attire l'attention de M. le secrétaire d'État chargé de l'industrie et de la consommation sur les interrogations des abonnés de France Télécom quant à la mention portée sur leurs factures qui précise que «à des fins de gestion de votre contrat et dans le respect de la loi Informatique et Libertés, vos données à caractère personnel sont susceptibles d'être transférées vers un pays hors de l'Union Européenne.» L'article 68 de la loi Informatique et Libertés indique «le responsable d'un traitement ne peut transférer des données à caractère personnel vers un État, n'appartenant pas à la Communauté européenne que si cet État assure un niveau de protection suffisant de la vie privée et des libertés et des droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet. Le caractère suffisant du niveau de protection assuré par un État s'apprécie en fonction notamment des dispositions en vigueur dans cet État, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.» Parallèlement, des usagers de France Télécom se plaignent de harcèlement à but commercial de la part de plateformes téléphoniques souvent localisées à l'étranger. Cette concomitance provoque des interrogations concernant l'utilisation des données personnelles transférées dans un pays tiers. C'est pourquoi elle lui demande de bien vouloir lui préciser les dispositions prises par l'État pour s'assurer du respect par France Télécom de la loi informatique et libertés en ce qui concerne le transfert de données personnelles vers un pays hors de l'Union Européenne.
Réponse émise le 21 septembre 2010
France Télécom, comme tous les opérateurs de communications électroniques, est tenue de respecter les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. L'article 68 de cette loi et l'article 25 de la directive n° 95-46 prévoient qu'un responsable d'un traitement ne peut transférer des données à caractère personnel vers un État n'appartenant pas à la Communauté européenne que si cet État assure un niveau de protection adéquat ou suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet. Cette protection peut être apportée de plusieurs manières (décision de la Commission européenne reconnaissant que le pays destinataire des données personnelles a une législation offrant une protection adéquate, signature de clauses contractuelles types adoptées par la Commission européenne par l'entité exportatrice et celle importatrice de données personnelles, etc.). Un transfert de données vers l'étranger, comme une communication de données à un tiers sur le territoire français, constitue un traitement de données à caractère personnel. Il est soumis à ce titre à l'ensemble des dispositions de la loi du 6 janvier 1978. Les responsables de traitement établis en France doivent donc s'assurer que le transfert qu'ils envisagent d'effectuer répond à l'ensemble des règles de la loi du 6 janvier 1978, et pas uniquement à celles qui traitent des transferts vers des pays n'appartenant pas à l'Union européenne. Il en résulte en particulier que : le traitement doit avoir régulièrement fait l'objet des formalités préalables requises par la loi ; tout transfert de données vers l'étranger doit avoir une finalité déterminée, explicite et légitime ; les données transférées ne doivent pas être traitées ultérieurement de manière incompatible avec cette finalité ; les données transférées doivent être adéquates, pertinentes et non excessives au regard de la ou des finalités pour lesquelles elles sont transférées (art. 6 de la loi du 6 janvier 1978). Les personnes dont les données sont susceptibles d'être transférées doivent être informées de l'existence de ce transfert (7° du I de l'article 32 de la loi du 6 janvier 1978). Cette information doit être suffisamment détaillée, et indiquer notamment la finalité du transfert, le pays d'établissement du destinataire des données, le ou les catégories de destinataires des données et, le cas échéant, de la nature de la protection assurée aux données transférées. Dans les cas où, comme le prévoit le second alinéa du III de l'article 32 de la loi, l'information des personnes auprès desquelles les données n'auraient pas été recueillies se révélerait impossible ou exigerait des efforts disproportionnés par rapport à l'intérêt de la démarche, il revient au responsable de traitement de prouver cette impossibilité ou ce caractère disproportionné. La Commission nationale de l'informatique et des libertés est chargée de veiller au respect de ces dispositions et dispose à cette fin de pouvoirs d'enquête et de sanction. Le code des postes et des communications électroniques comporte, par ailleurs, un certain nombre de dispositions spécifiques destinées à renforcer la protection des données à caractère personnel détenues par les opérateurs de communications électroniques. S'agissant du démarchage téléphonique, l'article R. 10 de ce code permet à tout abonné de s'opposer à ce que les données à caractère personnel le concernant soient utilisées à des fins de prospection directe, sauf en ce qui concerne les services de l'opérateur auprès duquel est souscrit l'abonnement (liste « anti-prospection », couramment appelée « liste Orange »).
Aucun commentaire n'a encore été formulé sur cette question.