L’annulation du safe harbour en Europe a aussi des conséquences sur le secteur financier au Moyen-Orient
Publié le 02/02/2016 par Etienne Wery
Contrairement à une idée répandue, l’approche européenne en matière de protection des données à caractère personnel est partagée par d’autres systèmes juridiques, notamment au Moyen-Orient (DIFC : Dubai International Financial Centre). L’annulation du Safe Harbor y soulève des questions similaires à celles que l’on se pose en Europe. Une nouvelle preuve de l’interconnexion des systèmes juridiques.
Le DIFC
Le Dubai International Financial Centre (DIFC) est une sorte de super zone franche financière, située à Dubaï.
Créé en 2004, le DIFC se matérialise par un territoire sur lequel les entreprises actives dans le secteur financier sont invitées à s’établir.
Le concept reprend l’idée de la zone franche et l’approfondit. Le DIFC dispose en effet de son propre système juridique, en ce compris des organes judiciaires distincts aux pouvoirs les plus étendus pour tout ce qui touche à la zone. Cela va du droit des sociétés au droit civil ou commercial, en passant par le droit du travail.
Ce n’est du reste pas la seule zone de ce type dans la région, le Qatar ayant suivi la même voie (Qatar Financial Center – QFC) tout comme Abu Dhabi (Abu Dhabi Global Market – ADGM).
L’idée est toujours la même : dans la perspective d’une diminution de la dépendance aux revenus du pétrole, les pays du Moyen-Orient tentent de diversifier leurs activités économiques. Le tourisme ou le secteur financier sont, à cet égard, des secteurs prisés.
DIFC et données personnelles
Le DIFC ne s’est très rapidement posé la question des transferts de données à caractère personnel.
Ce n’est pas étonnant. Dans la mesure où la zone franche est ciblée sur le secteur financier et que celui-ci est par nature mondial, les échanges de données sont fréquents. Ne fût-ce que pour pouvoir dialoguer et échanger avec la place de Londres située (pour l’instant en tout cas …) dans l’Union européenne, il était important de s’équiper d’une réglementation spécifique.
Tel est l’objet de la loi DIFC n° 1 de 2007 au sujet de la protection des données à caractère personnel (loi en annexe).
Celle-ci adopte, par rapport aux transferts de données, une approche dans laquelle on ressent immédiatement l’impact de la réglementation européenne.
L’article 8 de la loi stipule en effet que :
“A transfer of Personal Data to a Recipient located in a jurisdiction outside the DIFC may take place only if:
(a) an adequate level of protection for that Personal Data is ensured by laws and regulations that are applicable to the Recipient, as set out in Article 11 (2); or
(b) in accordance with Article 12.
(2) For the purposes of Article 11(1), a jurisdiction has an adequate level of protection for that Personal Data if that jurisdiction is listed as an acceptable jurisdiction under the Regulations or any other jurisdiction as approved by the Commissioner of Data Protection. “
L’impact de l’annulation du Safe Harbour
Lorsque la Cour de justice a annulé le Safe Harbor (voir notre actu précédente), cela a impacté non seulement les transferts de données entre l’Union européenne et les États-Unis, mais aussi les transferts de données entrant et sortant du DIFC.
La commission pour la vie privée du DIFC a en effet tiré la sonnette d’alarme et rappelé que la proximité du texte européen et de la loi DIFC implique de prendre en compte cette annulation.
Elle a donc invité les entreprises à sécuriser les échanges en utilisant un des autres filets de protection prévue par la loi.
À nouveau, l’approche est similaire à celle qui prévaut en Europe.
En Europe, le Safe Harbour est un système taillé sur mesure pour les flux de données entre l’Europe et les États-Unis. Pour tous les autres pays (et également pour les États-Unis, pour toutes les entreprises qui n’adhèrent pas aux Safe Harbor ou qui, tout en y adhérant, souhaitent double-sécuriser leurs échanges), il existe d’autres mécanismes permettant de contourner l’interdiction des flux.
L’article 9 de la loi DIFC adopte un raisonnement similaire :
“A transfer or a set of transfers of Personal Data to a Recipient which is not subject to laws and regulations which ensure an adequate level of protection within the meaning of Article 11 may take place on condition that:
(a) the Commissioner of Data Protection has granted a permit or written authorisation for the transfer or the set of transfers and the Data Controller applies adequate safeguards with respect to the protection of this Personal Data;
(b) the Data Subject has given his written consent to the proposed transfer;
(c) the transfer is necessary for the performance of a contract between the Data Subject and the Data Controller or the implementation of precontractual measures taken in response to the Data Subject’s request;
(d) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the Data Subject between the Data Controller and a Third Party;
(e) the transfer is necessary or legally required on grounds important in the interests of the DIFC, or for the establishment, exercise or defence of legal claims;
(f) the transfer is necessary in order to protect the vital interests of the Data;
(g) the transfer is made from a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate legitimate interest, to the extent that the conditions laid down in law for consultation are fulfilled in the particular case;
(h) the transfer is necessary for compliance with any legal obligation to which the Data Controller is subject or the transfer is made at the request of a regulator, police or other government agency;
(i) the transfer is necessary to uphold the legitimate interests of the Data Controller recognised in the international financial markets, provided that such is pursued in accordance with international financial standards and except where such interests are overridden by legitimate interests of the Data Subject relating to the Data Subject’s particular situation; or
(j) the transfer is necessary to comply with any regulatory requirements, auditing, accounting, anti-money laundering or counter terrorist financing obligations or the prevention or detection of any crime that apply to a Data Controller.
(2) The Court has jurisdiction to hear and determine any appeal in relation to a decision of the Commissioner of Data Protection to refuse to issue a permit referred to in Article 12 (1)(a) and his decision is final and binding upon the Data Controller”.
L’avenir
Les négociations actuelles entre l’Europe et les États-Unis pour la création d’un Safe harbour bis sont donc suivis de très près à Dubaï ou ailleurs.
À cet égard, la commission européenne a annoncé le 2 février avoir finalisé un accord politique avec les États-Unis. Nous y reviendrons.