Après le Safe Harbor, la gestion des données clients et salariés en "zone grise" : la to do list du directeur administratif et financier
Peut-on transférer, sans crainte, des données personnelles vers le territoire américain tout en étant en accord avec la législation européenne ? En attendant le Privacy Shield, back to basics. Explications avec Me François-Pierre Lani et Me Naomie Mopsik (cabinet Derriennic).
Le Safe Harbor est mort ! Vive le Privacy Shield ? Le cadre juridique de la collecte et du traitement des données à caractère personnel en entreprise n'a pas, hélas, le caractère automatique des règles de succession monarchique. En attendant le Privacy Shield, back to basics.
Les données personnelles en entreprise : qui, où, quoi
Dans le cadre de leurs activités, les entreprises sont susceptibles de procéder à une collecte de données à caractère personnel de leurs clients et de leurs salariés et au traitement de celles-ci. L'entreprise à l'origine d'un tel traitement est considérée par la loi comme étant responsable du traitement.
Pour illustration : les logiciels de gestion des ressources humaines, de gestion de la paie, les badgeuses, les fichiers clients et fournisseurs, l'intranet de l'entreprise, les annuaires téléphoniques internes, les adresses de messageries professionnelles, etc., comportent la plupart du temps des éléments d'identification (nom, prénom, numéro de sécurité sociale), et sont donc susceptibles d'être caractérisés de données personnelles.
7 grands principes à respecter en Europe
Qui dit données personnelles dit protection et procédures particulières imposées par l'Union européenne au travers, en particulier, de la directive 95/CE et, désormais, du nouveau règlement européen du 8 avril 2016. Celui-ci entrera en vigueur en 2018. C'est ainsi que les données à caractère personnel doivent respecter certains grands principes :
- -la finalité du traitement : l'usage des données personnelles doit être déterminé et légitime ;
- -la proportionnalité du traitement : seules doivent être traitées des données pertinentes et nécessaires à leur finalité ;
- -une durée limitée de conservation des données personnelles ;
- -la sécurité et la confidentialité des données ;
- -le droit à l'information des personnes dont les données sont traitées ;
- -le droit d'accès aux données et de rectification des informations erronées ;
- - le droit d'opposition accordé aux personnes dont les données sont collectées pour motifs légitimes.
Impact sur le choix du prestataire technique
Ces données nécessitent donc une vigilance accrue, en particulier dans le choix du prestataire technique qui sera désigné par l'entreprise pour faire héberger lesdites données. On pense, notamment, au Cloud. L'hébergement des données ne pose aucune difficulté dès lors que le lieu où les données seront traitées est situé dans un pays de l'Union européenne. S'il s'agit d'un pays tiers, celui-ci doit disposer d'un niveau de protection équivalent.
Les opérateurs américains sont devenus incontournables dans l'hébergement et le traitement de nos données? Cela ne doit pas excuser un "laisser-faire" de la part des directions administratives et financières
Le débat qui fait couler beaucoup d'encre et qui inquiète le monde des affaires se porte à ce jour sur les États-Unis, en tant que pays tiers. Peut-on transférer, sans crainte, des données personnelles vers le territoire américain tout en étant en accord avec la législation européenne ?
Le transfert vers les USA : quelle conformité
Le 26 juillet 2000, la Commission européenne et les autorités américaines avaient négocié un document, appelé "Safe Harbor" (en français "sphère de sécurité"), qui contenait des principes censés garantir un niveau de protection suffisant des données personnelles appartenant aux ressortissants de l'Union européenne transférées aux États-Unis. Le Safe Harbor prévoyait, notamment, des dispositions portant sur la sécurité des données, l'information des personnes, les droits d'accès aux données et de rectification, la possibilité pour les personnes concernées par le transfert de s'opposer à un transfert ou à une utilisation des données pour des finalités différentes, le consentement explicite pour les données sensibles.
Ainsi, les clients ressortissants de l'Union européenne qui souhaitaient bénéficier d'un service d'hébergement de données personnelles situé sur le territoire américain devaient vérifier, au préalable, si le fournisseur d'hébergement faisait partie des près de 4 000 entreprises américaines adhérentes au Safe Harbor. Or, la Cour de justice de l'Union européenne a considéré, le 6 octobre 2015, que le Safe Harbor ne présentait pas de garanties suffisantes, d'où son invalidation, qui n'a nullement laissé place à ce que d'aucuns appelaient "un vide juridique", mais a complexifié les relations d'affaires entre l'Europe et les États Unis.
Dénoncer les contrats en cours...
Les entreprises soumises à la législation européenne et qui ont confié l'hébergement des données personnelles sur le territoire transatlantique se doivent de renégocier leurs contrats de prestations informatiques afin d'assurer aux données hébergées un niveau de protection suffisant soit par le biais de clauses contractuelles types (modèles de contrats de transfert de données personnelles adoptés par la Commission européenne), soit par le biais de Binding Corporates Rules (codes de conduite internes à une entreprise ou à un groupe qui définissent la politique en matière de transferts de données personnelles hors de l'Union européenne permettant de garantir un niveau de protection suffisant aux données). Il est donc recommandé de dénoncer les contrats en cours et d'en renégocier les termes relatifs à la prestation portant sur les données.
Les contrats à venir : les points de vigilance du Daf
Un document, toujours à l'état de projet, négocié entre la Commission européenne et les autorités américaines, appelé "Privacy Shield" ("bouclier de protection" en français) était censé remplacer le Safe Harbor en comblant ces lacunes. Or, conséquence de l'avis du G29 (groupe de travail regroupant les "Cnil" européennes) rendu le 13 avril 2016, la substitution du Safe Harbor n'est qu'à mi-parcours (voir encadré ci-dessus). Ni le Safe Harbor ni le Privacy Shield ne sont donc suffisants.
Les entreprises soumises au droit de l'Union Européenne sont donc dans une "zone grise" dans le cas où elles souhaiteraient recourir à un transfert de données sur le territoire américain. Pour ce faire, notre préconisation est de privilégier les partenaires commerciaux situés au sein de l'Union européenne ou, à tout le moins, situés dans un pays considéré comme assurant un niveau de protection équivalent. Certes, les opérateurs de taille mondiale et de nationalité américaine sont devenus incontournables dans l'hébergement et le traitement de nos données. Cela ne doit pas excuser un "laisser-faire" de la part des directions administratives et financières des entreprises françaises car le non-respect de la réglementation française et européenne par un responsable de traitement engage la responsabilité pénale de l'entreprise et de ses dirigeants.
Lire aussi : La règlementation du reporting en Europe
En page suivante:
Les auteurs
Derriennic Associés, cabinet français indépendant et pionnier dans le domaine des nouvelles technologies, développe, depuis plus de trente ans, une ligne de services complète auprès d'une clientèle prestigieuse composée de grands groupes, utilisateurs de solutions informatiques, mais aussi de fournisseurs informatiques et d'éditeurs. Les principales activités du cabinet s'articulent autour des pôles droit de l'informatique, notamment sur toutes les questions liées à la protection des données personnelles, droit de la propriété intellectuelle, droit social, droit des marchés publics appliqués au secteur de l'informatique.
Le Privacy shield : peut mieux faire
1) Son contenu
Le Privacy Shield, publié depuis février 2016 et composé de nombreux documents, prévoit les grands principes que devront respecter les entreprises américaines (et, en particulier, les fournisseurs d'hébergement) pour présenter des garanties de protection suffisantes au profit des personnes dont les données sont collectées :
- "Notice Principle" : information complète et transparentes sur la collecte et les traitements des données ;
- "Choice Principle" : possibilité de s'opposer à la transmission des données et nécessité d'un consentement exprès en cas de transfert des données sensibles ;
- "Security Principle" : contraintes de sécurité auxquelles devront se conformer les entreprises américaines ;
- "Data Integrity and Purpose Limitation Principle" : respect de la finalité du traitement : les données transférées ne doivent pas être utilisées dans un but autre que celui consenti par la personne concernée ;
- "Access Principle" : droit d'accès aux données dans un délai raisonnable ;
- "Accountability for Onward Transfer Principle" : obligation d'encadrer, par contrat, la revente ou le transfert des données par le responsable du traitement au profit d'un tiers, lequel sera soumis aux mêmes obligations que le responsable du traitement en vertu du Privacy Shield ;
- "Recourse, Enforcement and Liability Principle" : des moyens de recours sont offerts aux citoyens européens dont les données sont collectées ou traitées en violation du Privacy Shield.
2) Les améliorations attendues
Selon le G29 donc, le Privacy Shield n'apporte pas un niveau de protection équivalent à celui prévu au sein de l'Union européenne. Parmi les "reproches" :
- les définitions relatives à la protection des données prévues dans la loi européenne ne sont pas similaires à celles utilisées dans le Privacy Shield, lequel propose des notions alternatives. Par exemple, le principe relatif à la finalité du traitement qui est, selon le G29, imprécis ;
- de même, les voies de recours telles que prévues ne s'exerceraient qu'en anglais et sont donc jugées, par le G29, comme impraticables.
- surtout, la collecte des données de manière massive et indiscriminée reste possible pour des raisons de sécurité nationale.
Le G29 a donc invité la Commission européenne à apporter des clarifications et à résoudre les difficultés relevées.
Sur le même thème
Voir tous les articles Risques