Tribunes

Les formalités CNIL des groupes internationaux simplifiées

La CNIL a publié une dispense de formalités pour des traitements automatisés effectués en France pour le compte de responsables de traitement établis hors UE et concernant des données personnelles de leurs salariés ou clients collectées hors UE

PublicitéLe 20 janvier 2011, la Commission Nationale de l'Informatique et des Libertés (la « CNIL ») a rendu sa Délibération N°2011-023 (ci-après la « Délibération CNIL ») qui a été publiée au Journal Officiel du 16 février 2011. La Délibération CNIL dispense de toutes obligations de déclaration certains traitements automatisés des données réalisées en France par des prestataires de services agissant pour le compte de responsables de traitement situés en dehors de l'Union Européenne (l'« UE »). La dispense s'applique à certaines données à caractère personnel des salariés et clients collectées par ces responsables de traitement en dehors de l'UE.

Avant cette Délibération CNIL, les responsables de traitement situés en dehors de l'UE et traitant les données à caractère personnel de leurs salariés ou clients également situés en dehors de l'UE devaient néanmoins effectuer une déclaration auprès de la CNIL lorsqu'ils utilisaient un prestataire de services en France. Plus précisément, les responsables de traitement devaient notifier à la CNIL leurs activités de traitement de données (données RH ou données clients) et en général, soumettre une déclaration simplifiée ou une déclaration normale. En outre, pour couvrir les flux transfrontières du « sous-traitant » en France vers les responsables de traitement situés en dehors de l'UE dans des pays n'offrant pas une « protection adéquate des données », les responsables de traitement devaient obtenir l'accord de la CNIL (sauf dans certaines situations limitées). Enfin, les responsables de traitement devaient en principe informer leurs salariés ou clients situés en dehors de l'UE de leurs droits en matière de protection des données en vertu de la loi française. Cette procédure était lourde pour les responsables de traitement qui, en pratique, n'avaient aucune activité dans l'UE en dehors des activités de traitement des données réalisées par leur sous-traitant.

Désormais, la CNIL dispense ces responsables de traitement des obligations de déclaration pour certaines activités de traitement des données (données RH et clients générales) au motif que les activités de traitement des données présentent des risques limités pour les droits des intéressés en matière de protection des données à caractère personnel. La CNIL ajoute qu'il n'y a pas lieu à informer les personnes concernées lorsque cette information exige des « efforts disproportionnés » par rapport à « l'intérêt (limité) de la démarche ». Il est en effet peu probable qu'un salarié ou client concerné situé aux USA ou au Japon demande à bénéficier d'une protection au titre de la loi française sur la protection des données à caractère personnel en ce qui concerne ses données collectées aux USA ou au Japon par son employeur ou prestataire américain ou japonais. La Délibération CNIL a également été confortée par un avis rendu récemment par le Groupe de Travail « Article 29 » sur la Protection des Données (le « Groupe Article 29 ») (décrit ci-dessous).

PublicitéBien que la CNIL ait reconnu que les risques pour les droits des intéressés en matière de protection des données étaient limités, elle a néanmoins confirmé l'application de la loi française sur la protection des données à caractère personnel. Par conséquent, les responsables de traitement susvisés doivent désigner un représentant local en France et respecter les obligations en matière de sécurité françaises.

Tel que cela a été brièvement évoqué ci-dessus, la Délibération CNIL a été précédée d'un avis du Groupe Article 29. Le 16 décembre 2010, le Groupe Article 29 a rendu un avis (ci-après l'« Avis ») clarifiant, notamment, le sens de l'expression « utilisation de moyens » figurant à l'Article 4(c) de la Directive 95/46/CE (la « Directive »). L'Article 4(c) de la Directive détermine le droit national applicable en vertu de ladite Directive (a) aux responsables de traitement situés en dehors de l'UE (b) traitant des données à caractère personnel d'intéressés situés en dehors de l'UE (c) lorsque ces responsables de traitement « utilisent des moyens » situés dans l'UE. L'Avis mentionne que « l'utilisation de moyens » situés dans l'UE désignait l'utilisation volontaire de moyens de traitement situés dans l'UE. L'Article 4(c) de la Directive couvre donc les mêmes faits que ceux de la Délibération CNIL.

Le Groupe Article 29 a reconnu que les responsables de traitement et les intéressés décrits ci-dessus présentent un « lien limité avec l'UE » et que le champ d'application de l'Article 4(c) et donc, de la Directive, était vaste. Le Groupe Article 29 a expressément reconnu les « conséquences parfois indésirables en termes d'impact économique et d'applicabilité » de cette large application de la Directive. Le Groupe Article 29 a donc suggéré d'envisager une approche « ciblée » similaire à l'approche américaine de la Children Online Privacy Protection Act (« COPPA », Loi américaine sur la Protection en Ligne des Données à Caractère Personnel des Enfants). Cette approche peut être envisagée pour les futures révisions du cadre européen de la protection des données.

Conséquences de la Délibération CNIL

Les responsables de traitement situés en dehors de l'Union Européen, utilisant des prestataires de services en France pour des activités de traitement des données à caractère personnel de leurs salariés ou clients, collectées en dehors de l'UE, qui respectaient l'ancien régime, n'ont aucune démarche à entreprendre sous réserve qu'ils conservent un représentant local et qu'ils respectent les mesures de sécurité relevant des lois françaises. Les autres responsables de traitement peuvent désormais bénéficier de la dispense définie par la CNIL (l'absence de déclaration), à condition qu'ils désignent un représentant local et qu'ils respectent les obligations de sécurité prévues par les lois françaises. Néanmoins, avant de recourir à un sous-traitant en France, les responsables de traitement doivent tenir compte des autres problématiques ou implications en matière de protection des données qui peuvent survenir en raison de leur structure. Plus précisément, les conséquences relatives aux transferts de données à des tiers ou au respect des demandes de communication (discovery requests) américaines doivent être considérées avec prudence.

Conclusion

La Délibération de la CNIL est indéniablement une avancée positive. D'autres étapes sont néanmoins nécessaires pour supprimer d'autres « conséquences indésirables » ayant un « impact économique » négatif. La dispense devrait être étendue. Une dérogation par rapport au droit communautaire ou au droit national devrait s'appliquer lorsque les responsables de traitement et les intéressés ont un « lien limité avec l'UE ». Ainsi, les lois françaises sur la protection des données -mais aussi sur la communication d'informations à l'étranger (« blocking statute »)- ne devraient pas s'appliquer aux informations détenues en France par un prestataire pour le compte de responsables de traitement situés hors UE et à propos d'intéressés également situés hors UE. L'objectif de la Directive n'était pas de donner des droits en matière de protection des données dans l'UE à des intéressés situés en dehors de l'UE ni de protéger les données à caractère personnel collectées et utilisées en dehors de l'UE.