Colette Langlade
Question N° 71931 au Ministère du de l'Etat
Question soumise le 23 février 2010
Mme Colette Langlade attire l'attention de M. le ministre du budget, des comptes publics, de la fonction publique et de la réforme de l'État sur le traitement des coordonnées bancaires des particuliers hors Union européenne. L'article 68 de la loi du 6 janvier 1978 modifiée le 6 août 2004 dispose que le transfert de données à caractère personnel hors Union européenne n'est licite que si le pays destinataire des données présente un niveau de protection adéquat ou suffisant. L'article 69 ouvre le champ à d'autres transferts dans le cadre de dérogations fondées, par exemple, sur le consentement expressément formulé de la personne à laquelle se rapportent les données. Les entreprises peuvent toutefois et dans certains cas obtenir des dérogations auprès de la commission nationale informatique et libertés (CNIL) sans le consentement de leurs clients. Certaines banques françaises recourent aux dérogations de la CNIL pour transférer le traitement des données personnelles de leurs clients vers des pays non membres de l'UE et n'appartenant pas à la liste des pays présentant un niveau de protection suffisant. Dans la pratique, les transferts de données à titre dérogatoire ont souvent des caractéristiques qui pourraient poser problème aux pouvoirs publics. Premièrement, outre le niveau de protection insuffisant, les pays destinataires sont fréquemment des paradis fiscaux. La littérature existante sur le sujet ne permet pas de nourrir le moindre doute, les dérogations de la CNIL entrent dans le cadre de stratégies d'offshoring. En accordant ces dérogations, la France pénalise à la fois les clients de ses banques, dont les données personnelles vont être traitées dans des pays n'assurant pas un niveau de protection satisfaisant, ainsi que son propre marché de l'emploi dans le secteur bancaire. Deuxièmement, la pratique montre que l'obligation d'information des personnes concernées n'est que partiellement respectée. Le décret n° 2005-1309 du 20 octobre 2005, modifié par le décret n° 2007-451 du 25 mars 2007, liste très clairement les obligations auxquelles sont tenues les entreprises en cas de dérogation. Les personnes concernées doivent, notamment, être informées du pays destinataire, du niveau de protection de ce pays, éventuellement de l'insuffisance du niveau de protection, des finalités générales du transfert, de la nature des traitements qui seront opérés, des catégories de données transférées, des catégories de personnes intéressées par le transfert et des catégories de tiers qui seront destinataires des données transférées. L'information délivrée par les banques françaises est souvent beaucoup plus succincte. Elle lui demande quelle est l'analyse du Gouvernement sur ce sujet et quelles dispositions il envisage afin d'assurer le respect de la loi et du règlement. Elle lui demande également si le Gouvernement compte adopter des dispositions qui permettraient aux clients des banques françaises qui le souhaitent de pouvoir s'opposer au transfert de leurs données personnelles vers des pays ne bénéficiant pas de la reconnaissance de protection adéquate de la Commission européenne.
Réponse
Cette question n'a pas encore de réponse.
Aucun commentaire n'a encore été formulé sur cette question.