Alors que la révision législative du cadre UE de la protection des données bat son plein, avec une myriade d’amendements ajoutés au texte initialement proposé par la Commission, la question d’une exception pour la lutte antidopage voit le jour à nouveau. Mais qu’en-est il de cette exception : que permettrait-elle le cas échéant, et quelles sont les chances pour ses auteurs de prévaloir dans les trilogues (Parlement-Conseil-Commission) qui s’annoncent ? Par Jacob Kornbeck.
Lutte antidopage entre exigences de l’UE et de l’AMA
Le cadre légal de l’Union européenne régissant la protection des données ne permet pas de transferts systématiques aux pays tiers, à l’exception des pays couverts par une décision de la Commission constatant le niveau de protection adéquat conformément à la directive 95/46/CE. (1) À l’heure actuelle de telles décisions sont très peu nombreuses, couvrant 9 États souverains (Andorre, Argentine, Canada, États-Unis, Israël, Nouvelle Zélande, Suisse, USA, Uruguay) ainsi que 4 territoires d’outre-mer appartenant à des États membres de l’UE (Iles Féroé, Guernsey, Ile de Man, Jersey). (2) À noter que la décision concernant les USA ne porte que sur l’accord Safe Harbour/Safe Harbor (3) qui pourrait bientôt être invalidé par l’arrêt de la Cour de Juste UE attendu dans l’affaire Schrems. (4) Bien que la Cour puisse encore décider autrement, l’avis de l’Avocat Général Yves Bot en date du 23 septembre 2015 recommande effectivement d’invalider Safe Harbour/Safe Harbor, (5) qui n’est qu’une décision de la Commission et ne saurait dès lors nullement empêcher les autorités nationales d’intervenir en cas d’allégation de violations des droits fondamentaux protégés par la Charte de l’UE. (6) L’Avocat Général opine en outre que la Commission aurait dû suspendre l’application de sa décision. (7) Le requérant, Maximilian Schrems, a salué cet avis. (8)
En tout état de cause et jusqu’à nouvel ordre, les organisations sportives et antidopage ont intérêt à se conformer aux consignes données par leurs autorités nationales en charge de la protection des données (pour la France, la CNIL). Pour la lutte antidopage menée en conformité avec le Code mondial antidopage de l’Agence Mondiale Antidopage (AMA), la situation actuelle manque de clarté, sauf qu’en cas de doute les transferts sont déconseillé alors que le partage de données personnelles d’athlètes est exigé, par exemple à travers l’outil ADAMS (Anti-Doping & Administration Management System). (9) Les transferts de renseignements personnels sont, à lévidence, très nombreux. (10) En cas de doute, le droit UE et national sont toujours d’application, car la protection des données à caractère personnel est un droit fondamental inscrit à l’Article 8 de la Charte des droits fondamentaux de l’UE. Ce principe de primauté est par ailleurs expressément reconnu au standard de l’AMA relatif à la protection des données. (11)
Fondation de droit privée suisse, l’AMA opère cependant de son siège à Montréal (Canada) où ses serveurs informatiques sont localisés. Comme les données ne sont pas envoyées en Suisse, la décision Suisse de la Commission ne s’applique pas. (12) Rappelons cependant que, même si le pays de destination est ainsi approuvé, les transferts de ce pays-là vers d’autres pays tiers doivent se conformer aux les règles européennes et peuvent ne pas être permises. La décision Canada (13) demeure inapplicable car limitée à la loi fédérale connue internationalement sous son acronyme anglais PIPEDA, (14) ciblant le secteur marchand aux opérations de l’AMA dont le statut est non-marchand, ce qui entraîne l’application du régime provincial du Québec pour le demeurant. Car une proposition législative, au niveau fédéral, visant à faire entrer l’AMA dans le champ d’application de la PIPEDA-LPRPDE, (15) a été voté par la Chambres des Communes d’Ottawa en juin 2015. En ce qui concerne les renseignements personnels recueillis, utilisés ou communiqués par lorganisation dans le cadre de ses activités interprovinciales ou internationales, l’AMA entrera désormais au champ d’application de la PIPEDA-LPRPDE. (16)
La réforme du cadre juridique UE
Depuis la publication de la proposition législative de la Commission, en janvier 2012, (17) la réforme législative du cadre UE est suivie de très près par le secteur antidopage. Elle prévoit notamment que la Directive 95/46/46 sera supplantée par un règlement général sur la protection des données, lequel entrerait en vigueur (comme tous les règlements UE) immédiatement sur les territoires nationaux sans recourir à des textes nationaux de transposition. Si en date du 12 mars 2014 le Parlement avait adopté un rapport (18) largement favorable à la proposition de la Commission, en ajoutant des éléments encore plus exigeants, la version la plus récente au niveau du Conseil date du 11 juin 2015. (19) Ce texte semble répondre aux attentes du secteur sportif et antidopage, dont l’EOC EU Office de Bruxelles (20) (du moins en ce qui concerne la lutte antidopage, sinon au niveau des matches truqués) ainsi que l’AMA elle-même. (21) Il convient de souligner que leurs efforts avaient été critiqués par des syndicats indépendants sportifs faisant valoir qu’ils n’étaient pas demandeurs d’une exception sportive pour leurs affiliés. (22)
Le projet du 11 juin 2015 prévoit notamment l’insertion d’un considérant n° 87 au libellé suivant (nouveau texte souligné) : Ces règles devraient s’appliquer en particulier aux transferts de données qui sont nécessaires pour des motifs importants d’intérêt général, par exemple en cas d’échange international de données (…) entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale ou relatives à la santé publique, par exemple aux fins de la recherche des personnes ayant été en contact avec des personnes atteintes de maladies contagieuses ou en vue de réduire et/ou d’éliminer le dopage dans le sport (…). Par conséquent, le nouveau texte proposé par le Conseil prévoit la licéité de tels transferts en principe, mais la garantit-il aussi systématiquement ?
Pour répondre à cette question il convient de lire le considérant n° 87 en connexion avec l’Article 44 régissant les dérogations pour des situations particulières. Si les transferts assortis d’une décision relative au caractère adéquat du niveau de protection sont régis par les dispositions de l’Article 41, l’Article 44 permet en effet quelques exceptions bien limitées : En l’absence d’une décision relative au caractère adéquat du niveau de protection conformément à l’article 41, paragraphe 3, ou de garanties appropriées conformément à l’article 42, y compris des règles d’entreprise contraignantes (…), un transfert ou une catégorie de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peuvent être effectués qu’à condition que: (…) la personne concernée ait explicitement consenti au transfert envisagé, après avoir été informée que ce transfert pouvait comporter des risques pour elle en raison de l’absence d’une décision relative au caractère adéquat du niveau de protection et de garanties appropriées; (…) le transfert soit nécessaire pour des motifs importants d’intérêt public; (Article 44, alinéa 1, points a-d). Le point d de l’alinéa 1 (intérêt public) est bien entendu celui qui correspond aux attentes du mouvement sportif et antidopage.
Cependant, l’intérêt général visé au paragraphe 1, point d), doit être reconnu par le droit de l’Union ou la législation nationale de l’État membre dont relève le responsable du traitement (Article 44, alinéa 5) (nouveau texte souligné). Par conséquent, sans légiférer spécifiquement pour reconnaître la mission d’intérêt public du secteur antidopage les États membres ne pourront pas faire valoir cette exemption. Qui plus est, en l’absence de décision relative au caractère adéquat du niveau de protection, le droit de l’Union ou la législation nationale de l’État membre peut, pour des motifs importants d’intérêt général, fixer expressément des limites au transfert de catégories spécifiques de données à caractère personnel vers un pays tiers ou une organisation internationale. Les États membres notifient ces dispositions à la Commission. (Article 44, alinéa 5bis) (Nouveau texte souligné)
Conclusion
Sur la base de ce qui précède il ne nous semble pas louable de conclure que les responsables de la lutte antidopage n’auraient plus à se soucier de la licéité de leurs transferts internationaux une fois que le règlement général serait en vigueur. Primo, le considérant n° 87 ne fait que reconnaître que de tels transferts pourront être justifiés : le but légitime, la base légale et les mesures de sauvegarde devront toujours être prouvés et les autorités nationales (genre CNIL) pourraient toujours émettre des réserves. Secundo, même si la licéité des transferts de données était affirmée, celle du traitement en UE devrait encore être établie selon les règles habituelles. Tertio, le texte du 11 juin fera encore l’objet de pas mal d’amendements.
Dès lors il nous semble indispensable que tous les États membres de l’UE se dotent d’une loi antidopage reconnaissant expressément les missions antidopage comme étant d’intérêt public, de préférence avec une référence à la problématique de la protection des données, à l’instar du projet de loi allemand qui est actuellement en train d’être débattu par le Bundestag. (23)
1 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Journal Officiel UE, L 281, 23.11.1995, pp. 31-50)
2 Voir la liste officielle : Commission decisions on the adequacy of the protection of personal data in third countries. http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm
3 2000/520/CE: Décision de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique [notifiée sous le numéro C(2000) 2441] (Texte présentant de l’intérêt pour l’EEE.) (Journal officiel UE, L 215, 25.08.2000, pp. 7-47)
4 Reference for a preliminary ruling from High Court of Ireland (Ireland) made on 25 July 2014 Maximillian Schrems v Data Protection Commissioner (Case C-362/14)
5 Opinion of Advocate General Bot delivered on 23 September 2015. Case C‑362/14 Maximillian Schrems v
Data Protection Commissioner (Request for a preliminary ruling from the High Court (Ireland)), http://curia.europa.eu/juris/document/document.jsf?doclang=EN&text=&pageIndex=0&part=1&mode=DOC&docid=168421&occ=first&dir=&cid=526092, §237 : Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the Department of Commerce of the United States of America is invalid.
6 Thus, although a decision adopted by the Commission under the implementing powers conferred on it by Article 25(6) of Directive 95/46 has the effect of allowing the transfer of personal data to a third country, such a decision cannot, on the other hand, have the effect of removing all power from the Member States, and in particular from their national supervisory authorities, or even of only restricting their powers, when they are faced with allegations of infringements of fundamental rights. AG Bot (op.cit.), §93.
7 Given such a finding of infringements of the fundamental rights of citizens of the Union, I consider that the Commission ought to have suspended the application of Decision 2000/520. AG Bot (op.cit.), §213.
8 Voir le site http://europe-v-facebook.org/EN/en.html avec sa documentation.
9 https://www.wada-ama.org/fr/nos-activites/adams
10 Senécal: La protection des données de santé des athlètes dans le cadre de la lutte contre le dopage. Dans : Lex Electronica, vol. 11 (2006), n° 2, pp. 1-23, http://www.lex-electronica.org/articles/v11-2/senecal.pdf, cf. p. 14.
11 Standard international pour la protection des renseignements personnels (SIPRP) de l’AMA. https://wada-main-prod.s3.amazonaws.com/resources/files/WADA-2015-ISPPPI-Final-FR.pdf. / International Standard for the Protection of Privacy and Personal Information (ISPPPI). https://wada-main-prod.s3.amazonaws.com/resources/files/WADA-2015-ISPPPI-Final-EN.pdf
12 2000/518/CE: Décision de la Commission du 26 juillet 2000 relative à la constatation, conformément à la directive 95/46/CE du Parlement européen et du Conseil, du caractère adéquat de la protection des données à caractère personnel en Suisse [notifiée sous le numéro C(2000) 2304] (Texte présentant de l’intérêt pour l’EEE.) (Journal Officiel UE, L 215, 25.08.2000, pp. 1-3)
13 2002/2/CE: Décision de la Commission du 20 décembre 2001 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la loi canadienne sur la protection des renseignements personnels et les documents électroniques [notifiée sous le numéro C(2001) 4539] (Journal Officiel UE, L 2, 04.01.2002, pp. 13-16)
14 Personal Information Protection and Electronic Documents Act (PIPEDA). Current to May 25, 2015. Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). À jour au 25 mai 2015. http://laws-lois.justice.gc.ca/PDF/P-8.6.pdf
15 Cf. le projet de budget 2015 : Un leadership fort. Un budget équilibré et un plan axé sur des impôts bas pour favoriser l’emploi, la croissance et la sécurité. Déposé à la Chambre des communes par le ministre des Finances, lhonorable Joe Oliver, c.p., député le 21 avril 2015. Ottawa : Sa Majesté la Reine du Chef du Canada (2014), http://www.budget.gc.ca/2015/docs/plan/budget2015-fra.pdf,cf. p. 368 : Le Plan daction économique de 2015 propose de modifier la Loi (…) de manière à ce que lAgence mondiale antidopage soit assujettie aux lois fédérales du Canada en matière de protection des renseignements personnels.
16 Loi portant exécution de certaines dispositions du budget déposé au Parlement le 21 avril 2015 et mettant en oeuvre dautres mesures (Deuxième session, quarante et unième législature, 62-63-64 Elizabeth II, 2013-2014-2015), Lois du Canada (2015) Chapitre 36, http://www.parl.gc.ca/content/hoc/Bills/412/Government/C-59/C-59_4/C-59_4.PDF : Plan daction économique nº 1 (2015) Annexe 1, cf. p. 158 : Annexe 2 (article 166) Annexe 4 (paragraphe 4(1.1) et alinéa 26(2)c)) Organisations.
17 Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE). 25.1.2012. COM(2012) 11 final. 2012/0011 (COD). http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf
18 Résolution législative du Parlement européen du 12 mars 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (COM(2012)0011 C7-0025/2012 2012/0011(COD)) (Procédure législative ordinaire: première lecture). http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2014-0212&language=EN&ring=A7-2013-0402
19 Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) – Préparation d’une orientation générale. http://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/fr/pdf
20 The EOC EU Office discusses the data protection reform with EU institutions. Created on Friday, 17 Apr 2015 00:00:00. http://www.euoffice.eurolympic.org/blog/eoc-eu-office-discusses-data-protection-reform-eu-institutions
21 Comments to the Proposed EU Data Protection Regulation. Agenda Item # 5.1. Attachment 1. (document non daté, mis en ligne par le Conseil de l’Europe) http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/T-DO%20-%20Item_5_1_Attach_1_WADA_Comments_to_DP_Regulation-EU_Presidency_FINAL.pdf
22 12. February 2013. 100,000 Elite Athletes Call for Fundamental Reform at WADA.
http://www.euathletes.org/media-press/news-from-eu-athletes/eu-athletes-news/browse/5/article/100000-elite-athletes-call-for-fundamental-reform-at-wada/news.html?tx_ttnews%5BbackPid%5D=361&cHash=e10b6cd12687f37d79263c538221798c
23 Deutscher Bundestag. 18. Wahlperiode. Drucksache 18/4898. 13.05.2015. Gesetzentwurf der Bundesregierung. Entwurf eines Gesetzes zur Bekämpfung von Doping im Sport. http://dipbt.bundestag.de/dip21/btd/18/048/1804898.pdf, cf. § 8 Informationsaustausch, ainsi que les commentaires pp. 21, 35-36 et 54.