Informatique et libertés
Flux transfrontières
Les flux transfrontières de données personnelles
La loi Informatique et libertés impose une réglementation stricte pour l’exportation des données à caractère personnel hors Union européenne dans les pays n’ayant pas une protection suffisante. Or, il existe de nombreuses situations susceptibles de générer des transferts internationaux de données et dont il faut tenir compte lors de la déclaration de traitement et surtout, de son exploitation. Des entreprises françaises qui communiquent avec des partenaires, des sociétés filiales ou mères ou qui ont des activités situées hors de l’Union européenne sont des situations dans lesquelles se produiront des transferts internationaux de données à caractère personnel. De même, la centralisation intra-groupe de la base de données de gestion des commandes, de la comptabilité clients, ou de la gestion des ressources humaines d’un groupe multinational, ou encore la délocalisation de centres d’appel constituent autant de situations qui entraîneront des transferts de données à caractère personnel hors des frontières communautaires.
La Commission européenne a établi une liste des pays accordant une protection adéquate. Il s’agit des vingt-cinq pays de l’Union européenne, des pays membres de l’Espace Economique Européen (1), des pays ayant fait l’objet d’une reconnaissance de protection adéquate (2). En ce qui concerne les Etats-Unis, un accord au titre du Safe Harbor, a été négocié. La Cnil n’a pas à autoriser les transferts vers les pays dont la protection est jugée adéquate. Cette situation est gérée lors des formalités déclaratives. Pour les pays tiers n’ayant pas une protection suffisante, l’opération de transfert n’est possible que si elle entre dans les dérogations définies de manière restrictive à l’article 69 de la loi de 1978, à défaut de quoi, une autorisation de la Cnil est nécessaire. L’autorisation s’obtient en encadrant le flux d’échanges par une convention de flux transfrontières ou des règles internes. Enfin, il convient d’ajouter que les règles internes (codes de bonne conduite, chartes) constituent pour les groupes de sociétés une alternative à la convention de flux. Adoptées de manière unilatérale par la direction du groupe, elles évitent de conclure autant de contrats qu’il existe de transferts de données en son sein.
(1) Islande, Liechtenstein, Norvège.
(2) Argentine, Canada, Guernesey, Ile de Man, Suisse, entreprises américaines adhérentes au Safe Harbor (Déc. CE 2000/520 du 26/7/2000).
(Mise en ligne Avril 2008)