La CNIL crée un groupe de travail sur l'offshoring
La pratique d'offshoring consiste à délocaliser des activités, souvent de service, vers des pays plus attractifs proposant une main d'œuvre plus faiblement rémunérée. Explications sur les raisons du groupe de travail monté par la CNIL
La loi du 6 août 2004 dispose que "le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat n'appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet".
En clair, délocaliser des services qui mettent en œuvre des traitements automatisés impliquant des données personnelles européennes peut être illégal si les pays vers lesquels les données sont transférées n'offrent pas un "niveau de protection suffisant".
C'est pourquoi un groupe de travail a été crée par la Commission nationale d'informatique et des libertés (CNIL) pour réfléchir sur les problèmes que pose l'offshoring au regard de la protection des données personnelles.
Observons que la CNIL n'a pas de jugement de valeur à formuler concernant l'offshoring, mais elle se doit , en revanche, d'informer les entreprises filiales ou sous-traitants des risques juridiques encourus (contrôles, voire sanctions, y compris pénales) si cette pratique s'opère sans respecter les règles de protection des données personnelles. La commission aura pour action de définir le cadre juridique dans lequel doit sopérer les transferts de données hors de l'Union Européenne.
Le processus de réflexion du groupe de travail dédié aux problématiques de l'externalisation des données consiste à évaluer in situ l'état et l'ampleur de ce phénomène puis à encadrer des pratiques qui existent déjà et qui sont mises en oeuvre dans un "no man's land juridique" quasi total.
Cette approche se veut pragmatique et réaliste puisque nous allons « sur le terrain » pour dire à des acteurs de l'offshoring qu'ils opèrent, pour certains, dans l'illégalité par rapport au transfert de données personnelles.
En effet, l'article 69 de la loi du 6 janvier 1978, modifiée le 6 août 2004, dispose, conformément à la directive du 25 octobre 1995, que le responsable du traitement ne peut procéder au transfert de données d'un état membre de l'Union vers un étant étranger que si celui-ci présente un niveau de protection suffisant ou équivalent.
De surcroît, et ceci est une contrainte trop souvent méconnue par les entreprises, un tel transfert doit être expressément et préalablement autorisé par la CNIL. Cette méconnaissance est d'autant plus dommageable qu'en application de l'article 226-16 du code pénal, ces faits sont passibles d'une peine de 5 d'emprisonnement et de 300 000 euros d'amende.
Le groupe de travail devrait proposer des solutions pour inciter les entreprises à un meilleur respect des règles de protection des données. En effet, de nombreuses entreprises, françaises, sont ainsi concernées. donc à votre disposition pour convenir d'une date d'audition.
Gageons que les solutions qui seront proposées inciteronnt les entreprises à un meilleur respect des règles de protection des données. Oui, espérons le.....