Avec le développement d’internet, les données transitent de plus en plus facilement et rapidement entre entreprises ou entre groupe. En outre, les transferts internationaux de fichiers clients-prospects ne cessent de se multiplier. C’est pourquoi il fut nécessaire d’établir un niveau de protection identique pour les données à caractère personnel.
Comment fonctionne les transferts internationaux de fichiers clients-prospects ? Puis-je transférer mes leads vers n’importe quel serveur étranger ? Quels sont les risques en la matière ?
Les transferts de fichiers clients-prospects en Europe
Depuis 1995, l’Union Européenne a tout fait pour faciliter la circulation des données à caractère personnel sur son territoire tout en assurant le respect des droits de ses citoyens. En effet, la directive 95/46/CE énonce à cet égard que « pour éliminer les obstacles à la circulation des données à caractère personnel, le niveau de protection des droits et libertés des personnes à l’égard du traitement de ces données doit être équivalent dans tous les États membres ».
C’est l’objectif même de cette norme. Depuis, tous les états membres, ainsi que les états partie à l’Espace Economique et Européen (Norvège, Islande et Lichtenstein), peuvent transférer des données à caractère personnel entre eux.
Ainsi, la transposition de cette norme pour les états membres (ou l’adhésion pour les états parties à l’EEE), est la condition sine qua none pour effectuer un transfert international de données personnelles.
Cependant, ces données transitent également vers des états en dehors de l’Union Européenne et non-partie à l’EEE.
Quid des transferts internationaux de fichiers en dehors de l’Union Européenne ?
En effet, de plus en plus de données s’exportent vers des pays tiers. Cela s’explique, notamment, par l’externalisation croissante de certains services (tels que des hotlines clients par exemple) vers des états où la main d’œuvre est moins coûteuse. Le recours, de plus en plus fréquent, à des serveurs étrangers (cloud computing) explique également l’exportation des données hors de l’union Européenne.
Il est donc nécessaire d’établir un cadre de protection suffisant pour ces transferts internationaux de fichiers clients-prospects…
La nécessité d’une « protection adéquate »
La directive de 1995 reconnait la possibilité aux états de transférer des données personnelles vers des états tiers. Cependant, certaines conditions sont à respecter.
En effet, l’article 25 de la directive énonce que « Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert (…) » ne puisse se faire que si « le pays tiers en question assure un niveau de protection adéquat ».
A cet égard, la Commission nationale de l’informatique et des libertés a répertorié les états qui remplissent cette condition via une carte interactive.
Mais, qu’est-ce qu’un « niveau de protection adéquat » ?
Le caractère suffisant de ce niveau de protection s’apprécie selon un faisceau d’indices. En effet, il faudra tenir compte de la législation de l’Etat en la matière, « des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement (…) ainsi que la nature, l’origine et la destination des données traitées ».
L’article 68 de la Loi informatique et Libertés précise que l’expression « niveau de protection suffisant » correspond à la protection de la vie privée et des droits fondamentaux des personnes.
C’est la Commission Européenne qui va s’assurer que l’état concerné présente un niveau de protection suffisamment élevé. Si c’est le cas, elle rendra une décision « d’adéquation », qu’elle transmettra à l’autorité compétente de l’état concerné (la Cnil pour la France). A ce jour, l’Andorre, l’Argentine, l’Australie, la Suisse, l’Uruguay ou encore Israël ont déjà fait l’objet d’une telle décision.
Par conséquent, avant de procéder à un transfère vous devrez vous assurer que l’état destinataire rempli cette condition !
L’exemple américain
Pour être certain qu’un état offre une protection des droits des personnes « substantiellement équivalent » à celui garanti par l’Union Européenne, la Commission européenne doit regarder le cadre juridique applicable.
Suite à un accord passé avec la commission européenne en 2000, les entreprises américaines jouissaient de ce qu’on appelait le « Safe Harbor ». Il s’agissait d’un ensemble de dispositions régissant la protection des données personnelles, auquel les entreprises américaines pouvaient adhérer librement afin de recevoir de telles données en provenance de l’Union Européenne.
Le Safe Harbor constituait alors un niveau de protection suffisant pour que les données européennes transitent vers les Etats-Unis.
Cependant, il fut constaté par la suite que la commission européenne s’était bornée à « examiner le régime de la sphère de sécurité sans prendre en compte la législation interne des Etats-Unis, qui l’emporte pourtant sur ce régime. Il en résulte que les entreprises devaient écarter ce régime lorsque celui-ci était contraire aux exigences légales américaines ».
Par conséquent, dans une décision du 6 octobre 2015, dite Schrems c/ Data protection commissionner, le Safe Harbor fut invalidé. La législation américaine autorisait la conservation massive et généralisée de toutes les données personnelles sans limitation, ni différenciation au regard de l’objectif poursuivi. En effet, les ingérences des autorités américaines étaient telles que « le niveau de protection » n’était, finalement, que factice…
En attendant l’entrée en vigueur du prochain Règlement européen en la matière, il faudra se contenter du Privacy Shield, entré en vigueur en aout 2016. Le G29 a eu l’occasion de se prononcer sur le sujet. De cet avis ressort le manque de clarté évident de l’accord notamment sur le volet commercial…
Que faire en cas de protection insuffisante ?
Il se peut que la Commission Européenne n’admette pas que le système d’un état offre une protection suffisante. L’article 70 de la Loi informatique et Libertés énonce que si la Commission européenne constate un niveau de protection insuffisant, elle saisira la Cnil qui délivrera un récépissé interdisant de procéder au transfert de données vers cet état.
A cet égard, l’article 26 de la directive énonce un certain nombre de dérogations. Ces exceptions sont reprises à l’article 69 de la loi informatique et libertés.
En matière commerciale, les transferts internationaux de fichiers clients-prospects sont possibles dans les cas suivants :
- Le transfert doit être nécessaire à l’exécution d’un contrat entre le responsable du traitement et la personne concernée
- Il doit être nécessaire à la conclusion ou l’exécution d’un contrat conclu entre le responsable du traitement et un tiers
Etant précisé que le consentement de la personne concernée vous sera nécessaire.
Ainsi, il vous suffira, par exemple, d’obtenir l’accord de la personne concernée pour transférer ses données vers un état dont le niveau de protection ne serait pas suffisamment élevé. Cela soulève des questions éthiques. En effet, certains états ont la réputation, notoire, de ne pas respecter les droits des personnes en la matière…
Les entreprises disposent-elles d’autres outils ?
Dans la situation où un Etat ne répondrait pas aux critères de la Commission Européenne et où aucune dérogation ne serait possible, que peuvent faire les entreprises ?… Des outils spécifiques sont mis à leur disposition pour effectuer des transferts internationaux de fichiers clients-prospects.
Les clauses contractuelles types de la Commission Européenne
Comme leur nom l’indique, il s’agit de modèles de contrats types émis par la Commission Européenne. Ces contrats sont au nombre de deux :
- Les clauses régissant les transferts entre deux responsables de traitement
- Les clauses régissant les transferts entre un responsable de traitement et un sous-traitant
Ainsi, les contrats de transfert seront subordonnés à des règles contractuelles garantissant un niveau de protection suffisamment élevé.
Les règles internes d’entreprise (BCR)
Les transferts de données personnelles peuvent être effectués entre sociétés d’un même groupe. Ces sociétés peuvent se trouver n’importe où à partir du moment où elles ont adopté ces règles internes. Il s’agit, finalement, d’un code de conduite interne adopté par toutes les sociétés d’un même groupe.
Ces dispositions doivent être contraignantes et s’imposer à tous. Tant les entités du groupe (quelque soit leur implantation) que les salariés y seront soumis.
Cette possibilité s’adresse principalement aux multinationales qui souhaitent exporter des données vers des états tiers n’assurant pas un niveau de protection suffisant.
Que risquez-vous en cas de transferts internationaux de fichiers clients-prospects illégaux ?
L’article 226-22-1 du Code Pénal prévoit une sanction en cas de transferts internationaux de fichiers clients-prospects illégaux. En outre, le fait de procéder ou de faire procéder au transfert de données personnelles vers un état hors de l’Union Européenne et en violation des mesures prises par la Commission européenne est réprimé. La sanction encoure est de cinq ans d’emprisonnement et de 300 000 euros d’amende.
Les transferts internationaux de fichiers clients-prospects sont source d’enjeux économiques importants. En effet, la plupart des données sont revendues ou échangées. En décidant de transférer vos données à des états tiers vous devrez vérifier leur système de protection en la matière. Le Règlement général sur la protection des données personnelles, qui entrera en vigueur en 2018, a pour objectif de réformer ce système.
Si cet article vous a plu, consultez notre article sur l’obligation de sécurisation des données ou à consulter notre livre blanc les aspects juridique de la génération de leads. Vous souhaitez être accompagnés dans votre démarche d’augmentation de vos leads? Nous vous invitons à contacter nos équipes pour plus d’informations.