Informatique et libertés
Flux transfrontières
Une nouvelle clause pour encadrer l’« outsourcing » de données à caractère personnel
Les transferts internationaux de données à caractère personnel hors de l’Union européenne ou vers des pays n’ayant pas fait l’objet d’une reconnaissance par la Commission européenne d’une protection adéquate, nécessitent un encadrement spécifique. Sont notamment concernés le recours à un centre d’appels étranger avec transfert du fichier correspondant pour réaliser les opérations de prospection ou encore la centralisation d’une base de données CRM ou RH. De tels flux doivent faire l’objet d’une autorisation de la Cnil, qui demande à ce titre la conclusion d’une convention de flux de transfert de données, établie à partie de clauses contractuelles types élaborées par la Commission européenne (1).
Confronté au phénomène croissant de l’externalisation des données personnelles vers des pays tiers, le G 29 (Groupe de l’article 29) a constaté que les sous-traitants procédaient eux-mêmes à des transferts ultérieurs des données vers des « sous-sous-traitants » établis hors de l’Union européenne. Or, les clauses contractuelles types ne prévoient pas de tels transferts complexes. Cette situation est particulièrement dangereuse lorsque des données sensibles sont transférées. Par conséquent, la Commission européenne (2) propose d’insérer dans les clauses contractuelles types une clause « sous-traitance » qui imposerait :
Par ailleurs, lorsque le sous-traitant manque à ses obligations en matière de protection des données, conformément au contrat écrit, l’importateur de données assume l’entière responsabilité à l’égard de l’exportateur. La décision finale de la Commission ne devrait pas être prise avant plusieurs mois, mais il est recommandé d’adapter les conventions déjà conclues.
(1) Clauses contractuelles types 2002/16/CE
(2) G29 WP 161 Avis 3/2009 du 5 mars 2009
Paru dans la JTIT n°88/2009 p.7
(Mise en ligne Mai 2009)