L’externalisation et la délocalisation face à la Cnil : le parcours du combattant

Alors que les opérations de délocalisation à l'étranger ne cessent de se développer, la Cnil a mis en place un groupe de travail consacré à l’examen, l’appréciation et la résolution des problématiques liées à la transmission de données à caractère personnel afférentes à ces opérations.

Ce groupe de travail, intitulé « Externalisation des entreprises françaises hors Union européenne », est placé sous la présidence de Monsieur Didier Gasse, commissaire de la Cnil et membre de la Cour des comptes. Il tend à préciser les règles et mesures permettant d'assurer la protection des données à caractère personnel ainsi transférées.
 
Certains professionnels accusent la Cnil de constituer un obstacle aux opérations d'externalisation ou d'offshoring, pendant que le Munci, association française professionnelle réunissant les membres des professions informatiques et télécoms, reproche à la Cnil « d'accompagner » le développement de ces opérations.
 
En pratique, la loi du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés encadre strictement les transferts de données à caractère personnel à destination de personnes physiques ou morales situées dans des pays étrangers à l'Union européenne, non reconnus par la Commission européenne comme assurant un niveau de protection adéquat.
 
La mise en oeuvre d'un transfert de données à caractère personnel est un parcours du combattant qui tend à assurer la protection et la sécurité des données personnelles concernées.
 
En premier lieu, ce transfert n'est possible que dans un certain nombre d'hypothèses limitativement énumérées par la loi (article 69). Il appartient au responsable du traitement (la société exportatrice des données) d'identifier l'hypothèse la plus adaptée à son projet et de s'y conformer.
 
Cette première étape franchie, le responsable du traitement doit fournir aux personnes concernées l'information préalable requise par la loi (article 32), et dont le décret d'application du 20 octobre 2005 modifié le 25 mars 2007 est venu préciser le contenu.
 
Lorsque les données transférées se rapportent au personnel de la société (dans le cadre d'une externalisation de la gestion des ressources humaines par exemple) ou lorsque le transfert est susceptible d'avoir un impact sur personnel (suppression de postes par exemple), il est souvent nécessaire de conduire cette étape de concert avec l'information des institutions représentatives du personnel, nonobstant la gestion du climat social qui accompagne ces opérations.
 
En troisième et dernier lieu, le responsable du traitement qui envisage le transfert des données doit obtenir l'autorisation de l'autorité de régulation, la Cnil, qui appréciera tant la légitimité du transfert que le caractère adéquat, pertinent et non excessif des données ainsi transférées.
 
A cet effet, il convient de renseigner un dossier Cnil comprenant le formulaire de demande d'autorisation et ses annexes ainsi que tout document utile au soutien de la demande.
 
Il est à noter que la Cnil, submergée par les dossiers qui lui sont soumis, rend actuellement ses décisions dans un délai moyen de deux mois à prendre en compte par la société exportatrice des données dans son calendrier de mise en oeuvre de l'opération d'externalisation, au risque de prendre du retard ou de se voir contrainte de suspendre les projets en cours dans l'attente de la décision.
 
Peu d'opérations d'externalisation échappe à l'application de la loi, dans la mesure où constitue une donnée à caractère personnel toutes informations permettant l'identification même indirecte des individus. Ainsi, le matricule d'un employé, le numéro ou le montant de la facture d'un client, le numéro de téléphone et le courriel d'un contact sont susceptibles d'être analysés par la Cnil comme autant de données à caractère personnel, aussi indolores ou insensibles qu'elles paraissent.
 
Le non respect des dispositions de la loi dite Informatique et Libertés est lourdement sanctionné : jusqu'à 300.000 euros d'amende (soit 1,5 million pour les personnes morales) et 5 ans d'emprisonnement (article 226-16 du Code pénal).
 
Il ne reste donc qu'à espérer que le groupe de travail de la Cnil « Externalisation des entreprises françaises hors Union européenne », qui veille à assurer aux données à caractère personnel une protection suffisante, aménage des solutions pragmatiques et praticables.
 
Le démarrage de ce groupe de réflexion semble néanmoins positif dans la mesure où celui-ci procède actuellement à l'audition des professionnels concernés et impliqués dans les opérations de délocalisation (dirigeants d'entreprise, avocats...).

Autour du même sujet