allo CNIL tél : 01 53 73 22 22
lettre info CNIL je m’inscris
11 octobre 2010
Le recours croissant à l'externalisation par les sociétés françaises implique un nombre important de transferts de données personnelles vers des pays n'appartenant pas à l'Union européenne. Ces pays n'assurant pas un niveau de protection des données personnelles équivalent à celui des pays de l'Union Européenne, la mise en œuvre de ces transferts est assez complexe juridiquement. Un rapport adopté par la CNIL propose des solutions pragmatiques afin d'accompagner les entreprises dans la mise en conformité des transferts qu'elles effectuent.
Dès 2006, la CNIL s'est intéressée à la question des transferts de données personnelles entre des entreprises situées sur le territoire français et des centres d'appels situés dans des pays n'appartenant pas à l'Union européenne. La plupart de ces pays ne disposent pas d'un niveau de protection des données personnelles équivalent à celui des pays de l'Union Europénne. L'encadrement de ces transferts est souvent complexe car les organismes ont recours à de multiples prestataires, ce qui rend difficile l'identification des responsabilités de chacun. La CNIL a donc constitué un groupe de travail pour identifier l'ensemble des problèmes posés par l'externalisation des traitements informatiques et proposer des solutions.
En préalable, il est utile d'indiquer que la CNIL se prononce uniquement sur le champ qui relève de sa compétence, à savoir la protection des données personnelles. Il ne s'agit pas de porter une appréciation sur l'ensemble des enjeux économiques et politiques de ce sujet sensible, le choix de l'externalisation hors de l'Union européenne, pouvant provoquer des délocalisations et des suppressions d'emplois.
Soucieux d'apporter des réponses pragmatiques, ce groupe de travail a organisé des auditions de cabinets de conseil et d'avocats impliqués dans le conseil "offshore" et la préparation de contrats de prestations, ainsi que de sociétés pratiquant cette externalisation, vers des filiales ou des sociétés tierces.
Le groupe de travail a d'abord mis en exergue les principales problématiques que sont la qualification des parties (responsable de traitement ou sous-traitant au sens de la loi) et l'encadrement des transferts de données. Il a ensuite formulé dans un document de synthèse des propositions pour mieux encadrer les transferts effectués dans le cadre d'une externalisation tout en répondant aux impératifs de la vie des affaires. Ce document propose notamment de :
Télécharger le document de synthèse Les questions posées par l’externalisation des traitements informatiques hors de l’Union européenne