L’outsourcing de données à caractère personnel

Informatique et libertés

Flux transfrontières

Une nouvelle clause pour encadrer l’« outsourcing » de données à caractère personnel

Les transferts internationaux de données à caractère personnel hors de l’Union européenne ou vers des pays n’ayant pas fait l’objet d’une reconnaissance par la Commission européenne d’une protection adéquate, nécessitent un encadrement spécifique. Sont notamment concernés le recours à un centre d’appels étranger avec transfert du fichier correspondant pour réaliser les opérations de prospection ou encore la centralisation d’une base de données CRM ou RH. De tels flux doivent faire l’objet d’une autorisation de la Cnil, qui demande à ce titre la conclusion d’une convention de flux de transfert de données, établie à partie de clauses contractuelles types élaborées par la Commission européenne (1).

Confronté au phénomène croissant de l’externalisation des données personnelles vers des pays tiers, le G 29 (Groupe de l’article 29) a constaté que les sous-traitants procédaient eux-mêmes à des transferts ultérieurs des données vers des « sous-sous-traitants » établis hors de l’Union européenne. Or, les clauses contractuelles types ne prévoient pas de tels transferts complexes. Cette situation est particulièrement dangereuse lorsque des données sensibles sont transférées. Par conséquent, la Commission européenne (2) propose d’insérer dans les clauses contractuelles types une clause « sous-traitance » qui imposerait :

  • d’obtenir le consentement préalable écrit de l’exportateur de données ;
  • d’effectuer le traitement pour le compte de l’exportateur selon ses instructions ;
  • de conclure un contrat écrit avec le sous-traitant mettant à la charge de ce dernier les mêmes obligations que celles mises à la charge de l’importateur des données.

    Par ailleurs, lorsque le sous-traitant manque à ses obligations en matière de protection des données, conformément au contrat écrit, l’importateur de données assume l’entière responsabilité à l’égard de l’exportateur. La décision finale de la Commission ne devrait pas être prise avant plusieurs mois, mais il est recommandé d’adapter les conventions déjà conclues.

    (1) Clauses contractuelles types 2002/16/CE
    (2) G29 WP 161 Avis 3/2009 du 5 mars 2009

    Paru dans la JTIT n°88/2009 p.7

    (Mise en ligne Mai 2009)