Tribunes

La protection des données personnelles dans les opérations Offshore

Les opérations d'externalisation offshore doivent satisfaire les exigences légales en matière de protection des données personnelles lorsqu'elles entraînent des transferts de données hors de l'Union européenne ("UE"), ce qui est le cas dans la grande majorité des cas. La CNIL a récemment publié un rapport proposant des solutions d'accompagnement pour les entreprises qui réalisent de telles opérations.

PublicitéLa question des données personnelles dans l'externalisation offshore

Au-delà de l'exigence première de conformité du traitement de données, tout projet d'externalisation qui implique le transfert de données personnelles d'une entreprise domiciliée dans l'UE vers un pays offshore (situé par hypothèse hors UE) doit satisfaire les exigences de la loi Informatique et Libertés relatives aux transferts de données.

Le non-respect des règles applicables est sanctionné pénalement.

Obtenir l'autorisation de la CNIL pour les transferts de données offshore

Le transfert de données suit un régime différent selon que le pays offshore est réputé par la CNIL disposer ou non d'une législation protectrice des données équivalente à la législation française. Dans l'affirmative, le transfert est libre. Dans la négative, il est soumis à l'obtention de l'autorisation préalable de la CNIL.

La demande d'autorisation incombe en principe à l'entreprise exportatrice, responsable du traitement qui devra, pour l'obtenir, démontrer qu'elle a pris les mesures nécessaires pour sécuriser le transfert. Ce sera le cas si (i) l'exportateur de données et le destinataire offshore ont mis en place un contrat de transfert conforme aux modèles de la Commission européenne, (ii) exportateur et destinataire appartiennent à un même groupe régi par des « Binding Corporate Rules », ou enfin, (iii) si le destinataire a obtenu une certification « Safe Harbor » (cas unique du destinataire localisé aux Etats-Unis). Hors ces cas, point de salut !

Dans la plupart des cas, la seule option sera de mettre en place un contrat de transfert conforme aux modèles de la Commission européenne. Cependant, seuls les cas simples pourront être traités en utilisant ces modèles, qui se révèlent singulièrement inadaptés lorsque les choses se compliquent un peu. Par exemple, lorsque qu'un sous-traitant fait son apparition dans la chaîne de traitement.

Cas des traitements complexes

Dans un tel cas, les choses deviennent rapidement assez incompréhensibles pour le profane. Ainsi, il peu réconfortant de savoir que la CNIL accepte trois types solutions : mandat, contrat tripartite ou encore contrat ad hoc avec le sous-traitant. On bute en fait souvent sur une impossibilité pratique (méconnaissance du sous-traitant), ou une réelle difficulté juridique (signer avec un sous-traitant indirect étranger un contrat de droit français conforme à un modèle type) à mettre ces solutions en oeuvre. Bref, rien d'aisé dans tout cela.

Et la situation se complique encore plus si le prestataire, au lieu d'agir comme simple exécutant dans le traitement, prend un rôle plus important, susceptible de lui conférer la qualité de responsable de traitement. C'est alors un autre jeu de modèles types qu'il convient d'utiliser...

PublicitéOr, la distinction est parfois ténue lorsque l'on sait que le responsable du traitement est, juridiquement, celui qui décide des finalités du traitement, mais aussi des moyens de traitement mis en oeuvre. Bien souvent, c'est en effet le prestataire seul qui décidera des moyens à mettre en oeuvre localement pour le traitement de son client.

Naissent alors l'incertitude et le risque d'erreur : comment traiter telle ou telle situation ? comment s'assurer que l'on a raison ? la sanction sera bien souvent un refus de la CNIL de délivrer l'autorisation requise, refus qui entraînera l'interdiction de procéder aux transferts envisagés et des retards potentiellement très significatifs pour le projet dans son ensemble.

Les solutions proposées par la CNIL

Face aux questions engendrées par cette situation, la CNIL a publié un rapport le 11 octobre 2010, intitulé "Les questions posées pour la protection des données personnelles par l'externalisation hors de l'Union européenne des traitements informatiques", qui apporte certains éléments de réponse sur ces questions.

Le rapport de la CNIL propose notamment des faisceaux d'indice afin d'identifier le rôle des parties (responsable de traitement ou sous-traitant) et de déterminer, par conséquent, les responsabilités qui en découlent ainsi que le type de schéma contractuel à mettre en place pour assurer un niveau de protection adéquat.

Mais on est encore loin de clarifier pleinement la situation et, de fait, la CNIL n'apporte pas de réponse aux cas les plus complexes, même s'ils sont souvent les plus fréquents.

Le livre Blanc de l'EOA

C'est dans ce contexte qu'a récemment été publié le Livre Blanc de l'EOA France sur "La gestion des données à caractère personnel dans les projets d'externalisation Offshore". Ce Livre Blanc apporte des réponses pratiques aux principaux cas de figure que l'on rencontre dans ce type de projet et formule en outre toute une série de recommandations à mettre en oeuvre aux diverses étapes d'un projet au regard de la problématique des données personnelles. Il vient donc très utilement compléter le Rapport de la CNIL et sa lecture est vivement conseillée.

On retiendra de ce qui précède que la gestion des données personnelles dans un contrat d'externalisation offshore n'est pas chose aisée à bien traiter. Il est conseillé d'identifier suffisamment tôt cette problématique, afin qu'elle ne devienne pas un facteur de retard ou de blocage. Il est également conseillé de se faire assister par des professionnels de la question, qui pourront sécuriser le projet en identifiant la solution à mettre en oeuvre afin d'obtenir l'autorisation requise en temps voulu.