samedi 16 décembre 2017

Accueil du site > Technologie > Protection des données : des contrats types pour transférer des fichiers (...)

Protection des données : des contrats types pour transférer des fichiers vers l’étranger

Estelle Dumout, ZDNet France

jeudi 13 janvier 2005, sélectionné par Spyworld

La Commission européenne a validé un ensemble de clauses contractuelles, qui réglementent l’échange de fichiers nominatifs entre les sociétés européennes et leurs partenaires en dehors de l’Union.

La Commission européenne a validé le 27 décembre de nouvelles « clauses contractuelles types » que pourront utiliser les sociétés de l’Union européenne (ou faisant commerce au sein de l’UE), pour échanger des fichiers nominatifs avec leurs partenaires étrangers.

Une initiative qui s’adresse à tous les acteurs de l’industrie et des services, et notamment aux sociétés de commerce électronique qui manipulent des fichiers clientèle provenant de tous les continents. L’objectif est de garantir un même niveau de protection de la vie privée de ces clients, alors que les législations dans le monde diffèrent.

Dans la pratique, de tels transferts sont surtout observés pour la « centralisation de données de ressources humaines », explique à ZDNet Clarisse Girot, chargée de mission à la Commission nationale de l’informatique et des libertés (Cnil). Car c’est dans ce secteur qu’une maison mère américaine, par exemple, peut réaliser le plus d’économies, en rapatriant aux États-Unis la base de données RH (ressources humaines) de sa filiale française. Un mouvement qui s’est amplifié après les attentats de septembre 2001, avec « l’obsession américaine de contrôler », selon les termes de la chargée de mission, l’ensemble des bases des données.

Un premier ensemble de clauses a été adopté en 2001 par la Commission européenne, immédiatement contestée par une coalition d’associations professionnelles, dont surtout la Chambre de commerce internationale (CCI) qui représente en grande majorité des sociétés américaines. Elles ont soumis des propositions alternatives au "groupe Article 29", qui rassemble les différentes autorités de protection des données personnelles des 25 pays membres, comme la Cnil.

Ces associations professionnelles critiquaient en priorité la clause « de responsabilité solidaire et indivisible » imposée autant à l’exportateur (celui qui vend les données) qu’à l’importateur (celui qui les achète). Cette mesure est censée permettre au client qui se rend compte que ses données personnelles ont été détournées, ou mal utilisées, « de se retourner indifféremment vers l’importateur ou l’exportateur pour obtenir réparation », poursuit Clarisse Girot. Il n’y a pas de « possibilité pour l’une ou l’autre des parties de se dégager de cette responsabilité pour absence de faute ».

Pas de clauses types pour les signataires de Safe Harbor

Dans leurs propres clauses, poursuit Clarisse Girot, la CCI et ses partenaires précisent que « l’importateur et l’exportateur sont responsables de leurs manquements respectifs à leurs obligations contractuelles ». L’exportateur peut également être poursuivi s’il ne s’est pas assuré que son partenaire commercial « est à même de satisfaire aux obligations juridiques qui lui incombent » en matière de protection des données.

Pour obtenir toutes ces garanties, la société qui transfère ses données a désormais la possibilité « de procéder à des vérifications au siège de l’importateur, ou de lui demander de prouver qu’il dispose de ressources financières suffisantes pour assumer ses responsabilités ». Il est également du devoir de l’exportateur, en cas de conflit avec un client sur ses données personnelles, de prendre contact avec l’importateur et d’exiger l’application du contrat dans un délai d’un mois. Rappelons que la personne fichée doit obligatoirement être prévenue du transfert de ses données personnelles.

Il est important de noter que ces mesures s’appliquent seulement dans le cas « d’un transfert de responsable de traitement à responsable de traitement ». C’est-à-dire lorsque la société qui reçoit les données peut les exploiter et les traiter. C’est le cas lors de la vente d’un fichier client entre deux sociétés différentes ; ou au sein d’un même groupe, lors de la centralisation d’une base de données du personnel, d’une filiale française vers sa maison mère américaine par exemple.

En revanche, s’il s’agit simplement d’un contrat d’hébergement à l’étranger, c’est-à-dire si l’importateur n’a aucune autonomie sur les données conservées et qu’il se contente d’obéir aux ordres de l’exportateur, « la responsabilité solidaire et indivisible » (de responsable à sous-traitant) s’applique automatiquement.

Ces nouvelles clauses ne remplacent pas celles de 2001, prévient déjà la Cnil. Les entreprises peuvent choisir celles qu’elles estiment les plus appropriées. « Le recours aux clauses contractuelles n’est pas nécessaire lors du transfert de données vers la Suisse, le Canada et l’Argentine (...), dont les régimes respectifs sont reconnus par la Commission comme offrant une protection adéquate des données, note Bruxelles dans un communiqué. Même exemption dans le cas de transferts à des sociétés américaines adhérant au programme Safe Harbor. Inauguré le 1er novembre 2000, sa vocation est d’aligner les États-Unis sur l’Europe en matière de protection des données. Environ 600 sociétés américaines l’ont signé.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :