Suite à la sanction pécuniaire de 30 000 euros prononcée par la Cnil[1] à l’encontre de la société Tyco Healthcare France concernant la mise en œuvre d’un fichier international de gestion des ressources humaines, nombreux sont les acteurs du monde économique et social qui ont déclaré que l’autorité de régulation française, la Cnil, constitue un obstacle aux transferts de données de salariés vers les sociétés mères situées aux Etats Unis[2]. Or, ce n’est pas le transfert en lui-même que la Cnil a sanctionné, mais uniquement le défaut de coopération et de transparence de Tyco, qui avait prétendu avoir suspendu la mise en œuvre de son fichier relatif à gestion des carrières à l’international[3].
Alors que certains professionnels accusent la Cnil de constituer un obstacle aux opérations internationales, tout récemment, le MUNCI, association française professionnelle réunissant les membres des professions informatiques et télécoms, a reproché à la Cnil «d’accompagner», tel un allié, le développement des opérations d’externalisation et de délocalisation (offshoring, outsourcing).
La question mérite donc d’être posée : la Cnil constitue-t-elle un obstacle aux transferts de données hors Union européenne et donc au développement des opérations internationales ?
Principales opérations impliquant un transfert de données à caractère personnel
Les transferts de données à caractère personnel hors de l’Union européenne sont inhérents aux opérations économiques, financières et sociales classiques dans la vie des sociétés, quelque soit leur secteur d’activité (Assurance, Banque, Santé, Marketing, Media, Télécoms, Immobilier, Transports, Ressources Humaines, Nouvelles Technologie, Environnement, Collectivités territoriales…).
Transferts massifs d’informations à caractère personnel relatives au personnel ou à la clientèle de l’entreprise :
Opérations de délocalisation d’une activité, opération de sous-traitance d’une activité ou d’une technologie (l’Inde et la Chine s’avérant de plus en plus convoitées), « mutualisation » des ressources au sein d’un groupe de sociétés, financement international, fusion-absorptions, apport partiel d’actif, création d’une plate-forme de partage d’information intra-groupe (data sharing) ou centralisation des informations, cession d’activité, cession de clientèle.
Transferts ciblés voire individuels d’informations à caractère personnel relatives au personnel ou à la clientèle de l’entreprise :
Transmission d’informations directement ou indirectement attachées à un individu (i) pour faire suite à une demande d’un tiers dans le cadre de la procédure américaine de pre-trial discovery[4] ou d’une autorité étrangère de contrôle bancaire (SEC, CBRC…) (ii) pour partager des informations à l’intérieur de groupe sur la clientèle à des fins de marketing / prospections commerciales / reporting ou à des fins de lutte contre le blanchiment d’argent et le financement du terrorisme ou encore (iii) pour remonter des informations aux fins de lutte contre la fraude, la corruption et les manquements aux règles et procédures qui mettent en péril la société (y compris dans le cadre d’une procédure d’alerte éthique / whistleblowing).
Contraintes légales et réglementaires
L’article 68 de la loi du 6 janvier 1978, modifiée le 6 août 2004, dispose, conformément à l’article 25 de la directive européenne du 25 octobre 1995, que le transfert de données à caractère personnel (information se rattachant à une personne physique et permettant l’identification même indirecte de celle-ci[5]) hors de l’Union européenne n’est licite/possible que si le pays destinataire des données présente un niveau de protection suffisant ou équivalent au droit communautaire.
Cinq pays situés hors Union européenne (dont l’Argentine, le Canada et la Suisse) ont été reconnus comme assurant un niveau de protection adéquate par une décision d’adéquation de la Commission européenne.
Les transferts de données vers les autres Etats étrangers (tels les Etats-Unis – sauf adhérence de la société destinataire au Safe Harbor -, l’Inde, la Chine, y inclus Hong Kong, le Maroc ou la Tunisie) peuvent néanmoins être mis en œuvre, sous réserve de respecter l’une des conditions posées à l’article 69 de la loi.
A titre d’exemple, on compte parmi ces dérogations le consentement express la personne à laquelle se rapportent les données lequel doit également être libre et spécifique (excluant ainsi de facto le transfert de données de salariés)[6] ou encore le fait que le transfert soit nécessaire à l’exécution d’un contrat entre le responsable du traitement et l’intéressé.
Ces conditions dérogatoires au principe d’interdiction du transfert des données vers des pays non reconnus par la Commission européenne comme assurant un niveau de protection adéquate sont d’interprétation stricte.
Ces hypothèses sont donc rarement remplies ou difficilement applicables.
Aussi, la loi française (conformément à la directive européenne) a prévu une solution alternative qui consiste à cadrer contractuellement le transfert afin d’assurer un niveau de protection suffisant au traitement des données par leur destinataire. Cette solution a la faveur des opérationnels qui optent soit pour l’insertion dans leur dispositif contractuel des clauses contractuelles types adoptée par la Commission européenne, soit pour la conclusion de règles internes intra-groupe.
Il demeure que tout transfert de données à caractère personnel vers un pays situé hors Union européenne est subordonné au respect d’un certain formalisme, et notamment : obligation d’informer les personnes dont les données qui leurs sont rattachées font l’objet du transfert et obligation d’obtenir l’autorisation de la Cnil.
S’agissant de l’information préalable des personnes concernées, les dispositions de l’article 101 du décret n° 2005-1309 du 20 octobre 2005, modifié par le décret 2007- 451 du 25 mars 2007, précisent le contenu de l’information qui doit mentionner les 6 éléments suivants :
1° Le ou les pays d’établissement du ou des destinataires du transfert ;
2° La ou les finalités générales du transfert ;
3° La nature du ou des traitements opérés chez le ou les destinataires ;
4° La ou les catégories de données à caractère personnel transférées ;
5° La ou les catégories de personnes intéressées par le transfert de données;
6° La ou les catégories de tiers qui seront rendus destinataires des données transférées.
Par ailleurs, il résulte de l’application combinée des articles 91, 101 et suivants du décret ainsi que du rapport de janvier 2007[7], qu’il convient également d’informer les personnes concernées du niveau de protection offert par le ou les pays tiers et donc, le cas échéant, le fait que le pays destinataire des données n’assure pas un niveau de protection adéquate.
Enfin, il doit être fait mention de la condition dérogatoire prévue à l’article 69 (consentement, exécution du contrat, etc.) mise en œuvre par le responsable du traitement – exportateur des données – ou de la décision de la Cnil autorisant ce transfert.
Effet pervers du décret du 25 mars 2005
Le formalisme imposé par le décret du 25 mars 2005 connaît en pratique un effet pervers.
Dans le cadre de certaines opérations impliquant un transfert massif d’informations (telles que la délocalisation des tâches administratives répétitives de l’entreprise ou le partage d’informations au sein d’un groupe de sociétés situées dans plus de 30 pays hors Union européenne), la mention d’information est si dense qu’elle en devient parfois illisible, indigeste et risque donc d’être ignorée ou incomprise par la personne concernée.
De leur côté, les opérationnels estiment qu’indiquer à la clientèle ou au personnel que le destinataire de leurs données (prestataire, partenaire, filiale…) est situé dans un pays n’assurant pas un niveau de protection adéquate de la vie privée ainsi que des libertés et droits fondamentaux des personnes (article 91) constitue une mention « anti-marketing » et revêt un caractère irrémédiablement anxiogène pour les personnes concernées. En effet, ces dernières ne semblent pas rassurées par l’indication de l’exception légale mise en œuvre ou de l’obtention de l’autorisation de la Cnil.
De même, les professionnels déplorent avoir à fournir cette information dans les cas où le transfert des données s’inscrit dans le cadre d’une opération de restructuration de la société, générant nécessairement la suppression d’un certain nombre de postes et donc des licenciements (délocalisation, externalisation, sous-traitance d’une activité ou de tâches administratives répétitives). L’information « Cnil » vient enrichir et surcharger un climat social difficile à gérer et rigoureusement encadré par le droit du travail, qui prévoit selon les hypothèses une information collective des salariés et la consultation ou l’information des instances représentatives du personnel.
Risques opérationnels
Compte tenu des lourdes sanctions qui pèsent sur les sociétés en qualité de responsable de traitement (jusqu’à 300.000 euros d’amende et 5 ans d’emprisonnement[8]), compte tenu de l’accroissement des contrôles de la Cnil et des amendes prononcées par celle-ci, les sociétés sont de plus en plus sensibilisées par leurs obligations déclaratives.
Aussi, la Cnil victime du succès de cette sensibilisation est submergée par le volume des dossiers qui lui sont soumis. En effet, malgré les meilleurs efforts de ses instructeurs, le délai de 2 mois[9] prévu pour rendre les autorisations de transfert est difficilement respecté par la Cnil. Aussi , dans l’attente de l’autorisation préalable ou obligatoire, les opérationnels sont quelques fois contraints de retarder leurs projets, ce qui représente souvent un coût supplémentaire important (les équipes immobilisées sur place restant dans l’attente du transfert des données).
La Cnil, qui a pour seule vocation la protection de la vie privée ainsi que des libertés et droits fondamentaux des personnes, n’entend pas se dresser contre le développement des sociétés. Aussi, en pratique, elle veille à prioriser l’instruction des dossiers justifiant d’un traitement urgent.
Par conséquent, si la loi Informatique et Libertés et, par elle, la Cnil, « garde-fous de la vie privée, des libertés et des droits fondamentaux des personnes », constitue une inévitable contrainte pour la mise en oeuvre d’opération internationale, il ne s’agit aucunement d’un obstacle insurmontable.
Il est toutefois à noter que les transfert de données à caractère personnel à l’intérieur même de l’Union européenne ne sont pas pleinement libéralisés. Tout particulièrement, certaines législation d’Etats membres de l’Union européenne (la Pologne, par exemple), ainsi que leur autorité de régulation (homologue de la Cnil), s’opposent au transfert de données à caractère personnel de salariés vers un autre Etat membre, ce qui parait en contrariété avec l’esprit de la directive européenne).
[1] Commission Nationale de l’Informatique et des Libertés.
[2] Article du http://www.mondaq.com/article.asp?articleid=48691
[3] D’après la Cnil, Echos des séances du 1er avril 2007.
[4] La procédure de discovery ou « pre-trial discovery » correspond à la phase d’investigation préalable au procès, dans les pays de Common Law par laquelle le juge peut enjoindre les parties ainsi que les tiers au litige de transmettre des éléments de preuves, en ce compris des données à caractère personnel.
[5] Personnel salarié ou non, consommateur, client, fournisseur, contact, interlocuteur, prospect, dirigeant ou propriétaire final d’une société, etc…
[6] Rapport de la Cnil de janvier 2007 relatif aux « Transferts de données à caractère personnel vers des pays non membres de l’Union européenne ».
[7] Rapport de la Cnil de janvier 2007 relatif aux « Transferts de données à caractère personnel vers des pays non membres de l’Union européenne ».
[8] Article 226-16 du Code pénal.
[9] Article 103 et 8 du décret du 25 mars 2005 susvisés.