La Cnil a décidé de dispenser de déclaration les traitements de données à caractère personnel concernant la sous-traitance en France de la gestion de données issues et à destination de l’étranger (hors Union européenne). Il s’agit de la quinzième dispense de déclaration (DD-015) mise en place par la Commission nationale de l’informatique et des libertées.
La commission constate que des entreprises et organismes, établis en dehors de l’UE, font réaliser par des prestataires situés en France des traitements automatisés concernant la gestion de leurs employés ou leurs fichiers de clients et prospects. (…) Les traitements effectués en France par le prestataire concernent des données personnelles collectées hors de l’UE sous l’autorité du responsable de traitement établi hors de l’UE. Enfin, le transfert après traitement de ces données du prestataire vers le responsable de traitement hors de l’UE présente un risque limité pour la vie privée des personnes concernées, puisqu’il s’agit d’un transfert en retour vers le pays d’origine. Compte tenu de ces éléments, la Commission estime qu’il y a lieu de faire application des dispositions de l’article 24 (II) de la loi 78-17 modifiée et de dispenser ces traitements de toute formalité déclarative préalable. Elle considère, en outre, que le transfert « en retour » des données vers le pays d’origine relève des exceptions prévues aux articles 69 (5°) et 69 (6°) de la loi précitée.
Dispense n° 15 : délibération n° 2011-023 de la Cnil du 20 janvier 2011 dispensant des traitements automatisés effectués sur le territoire français par des prestataires agissant pour le compte de responsables de traitement établis hors de l’Union européenne et concernant des données personnelles collectées hors de l’Union européenne (JO du 16 février 2011)