Les échanges de données, même business, entre les pays peuvent être définies comme des flux transfrontières de données. Avec la mondialisation des relations commerciales, la mise en œuvre de procédés de Cloud Computing et le recours exponentiel à l’externalisation, on assiste à une multiplication des flux transfrontières de données à destination de pays situés en dehors de l’Union européenne.

Or, ces transferts sont par principe interdits, à moins que le pays ou le destinataire n’assure un niveau de protection adéquat. En effet, il est essentiel d’assurer la protection des droits des citoyens dont les données sont transférées. Pour ce faire, les entreprises disposent d’outils de sécurisation des transferts afin qu’ils soient acceptés par la Cnil (clauses contractuelles types élaborées par la Commission européenne, règles internes d’entreprises pour les multinationales, adhésion au Safe Harbor pour les entreprises américaines).

Les entreprises se retrouvent donc face à la difficulté d’assurer la complétude juridique de ces flux au regard des réglementations nationales et européennes.

En effet les flux de données doivent être sécurisés et protégés tant au sens du droit européen que national. La Cnil et ses équivalents dans les autres pays européens forment un groupe de travail « le G29 » qui travaillent actuellement sur l’élaboration de critères clairs de d’application de la protection des flux de données par le droit européen et français.

Il convient de rappeler que les critères de rattachement au droit européen sont :

  • le cas où l’entreprise, responsable du traitement, a un lieu dans un pays membre de l’Union européenne ;
  • le cas où l’entreprise, responsable de traitement, a recourt à des moyens de traitement en Europe, par exemple en y ayant ses serveurs informatiques, même si elle n’est pas établie dans un pays membre de l’Union européenne.

Le sujet présente un enjeu majeur pour les entreprises. C’est la raison pour laquelle la Cnil a publié un communiqué précisant qu’une réflexion sur la mise en œuvre de ces critères est en cours sur le sujet :

« Cette étude servira également de contribution à l’avis que prépare le Groupe des Cnil européennes sur cette question. Elle permettra ainsi d’alimenter la réflexion engagée par la Commission européenne, dans le cadre de la révision de la directive de 1995, en vue d’une éventuelle évolution des critères actuels. »

A ce jour, il est très difficile pour une entreprise d’adopter la stratégie la plus adaptée à sa situation au regard du type de flux transfrontières qu’elle réalise (intranet – worflow – base de données commune aux filiales d’une entreprise internationale comme la crm – B2B ou B2C…). Espérons que la réflexion engagée leur apportera les lumières nécessaires…affaire à suivre…

 

Lien d’actualité : http://www.cnil.fr/la-cnil/actu-cnil/article/article/a-lheure-de-la-mondialisation-des-echanges-et-des-technologies-sans-frontieres-quelle-loi-app/

Nous contacter