CIL

La modification de la loi informatique et libertés en août 2004 a créé une procédure d'autorisation par la CNIL des transferts internationaux de données à caractère personnel vers des pays n'accordant pas une protection suffisante.

Poursuivant l'objectif de simplification et de rationalisation de ses procédures de déclaration des traitements, qui découle également de la nouvelle loi, la CNIL a identifié des transferts très courants et ne comportant a priori pas de risque pour les personnes concernées afin de faire bénéficier ces traitements, à certaines conditions permettant de préserver la protection des personnes, des déclarations simplifiées, qui s'effectuent par téléprocédure sur le site de la CNIL.

Les transferts concernés s'inscrivent dans le cadre de la norme simplifiée n° 48 concernant la gestion de fichiers de clients et de prospects qui a vocation à s'appliquer à toutes les opérations courantes auxquelles ont recours les entreprises dans le cadre de leurs activités s'agissant des clients, gestion de la facturation, des commandes et des livraisons ainsi que les actions de sollicitations commerciales. Sont cependant exclus certains secteurs d'activité : les établissements bancaires ou assimilés, les entreprises d'assurances, de santé et d'éducation, qui disposent de textes spécifiques.

De plus en plus de dossiers reçus à la CNIL font en effet référence à des transferts de données vers l'étranger, compte tenu de la centralisation des informations relatives à la clientèle auprès de la société mère, qu'il s'agisse de la centralisation de l'architecture informatique de groupes de sociétés multinationaux , de la transmission à la société mère de certains éléments du fichier client de ses filiales ou de données collectées par Internet pour le compte d'un établissement situé en France mais dont toute l'architecture technique, notamment l'hébergement, est à l'étranger.

Les transferts sont également nombreux dans les traitements encadrés par la norme simplifiée n° 46 relative aux traitements couramment mis en œuvre dans les entreprises dans le cadre de la gestion de leurs salariés, qu'il s'agisse de la gestion administrative des personnels, la mise à disposition des personnels d'outils informatiques, l'organisation du travail, la gestion des carrières et de la mobilité et la formation du personnel.

Cependant, l'autorisation de transfert ne concerne pas l'ensemble de ces finalités car la CNIL a voulu limiter l'autorisation de transfert aux traitements les plus courants, qui manifestement ne sont pas susceptibles de porter atteinte aux droits de la personne, et à l'exclusion donc de tout traitement permettant le contrôle individuel de l'activité des employés.

Les transferts concernés sont donc ceux ayant pour finalité :

en ce qui concerne les traitements relevant de la norme simplifiée n°48 :

la gestion d'un fichier client ainsi que la gestion des opérations de prospection commerciale dès lors qu'elles sont réalisées dans le cadre d'une sous-traitance,

en ce qui concerne les traitements relevant de la norme n°46 :

la gestion administrative des personnels mais uniquement pour les traitements permettant :

• la réalisation d'états statistiques ou de listes d'employés pour répondre à des besoins de gestion administrative ;

• la gestion des annuaires internes et des organigrammes ;

• la mise à disposition des personnels d'outils informatiques :

- suivi et maintenance du parc informatique ;
- gestion des annuaires informatiques permettant de définir les autorisations d'accès aux applications et aux réseaux ;
- mise en œuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux
- gestion de la messagerie électronique professionnelle, réseaux privés virtuels internes à l'organisme permettant la diffusion ou la collecte de données de gestion administrative des personnels (intranet).

Les nouvelles normes modifiées définissent le cadre dans lequel les transferts de données vers l'étranger pourront être autorisés. Il convient en effet que :

• le traitement garantisse un niveau de protection suffisant de la vie privée et des libertés fondamentaux des personnes. Sont visées les clauses types relatives au transfert de données vers des pays n'assurant pas un niveau de protection adéquat issues des décisions de la Commission européenne et le cas dans lequel des règles internes contraignantes ont été prises par l'entreprise et ont fait l'objet d'une décision favorable de la CNIL;
• le responsable du traitement ait clairement informé les personnes de l'existence d'un transfert de données vers l'étranger. 
• le responsable du traitement s'engage, sur simple demande de la personnes concernée, à apporter une information complète sur le ou les pays d'établissement du destinataire des données, la finalité du transfert envisagé, la ou les catégories de destinataires des informations ainsi que la nature de la protection accordée aux données transférées.