Par une délibération du 20 janvier 2011 (« Dispense n°15 »), la Cnil dispense de déclaration les traitements de données à caractère personnel qui cumulativement :

 

  • sont effectués sur le territoire français par des prestataires agissant pour le compte de responsables de traitement établis en dehors de l’Union européenne ;
  • concernent des données personnelles collectées en dehors de l’Union européenne.

 

La Cnil a constaté que des entreprises et organismes établis en dehors de l’Union européenne font réaliser par des prestataires situés en France des traitements automatisés concernant la gestion de leurs employés ou leurs fichiers de clients et prospects. Face à la croissance du recours à ces prestataires et à la multiplication des flux de données entre les pays dans le monde entier, la Cnil a cherché à simplifier les formalités des entreprises établies en dehors de l’Union Européenne et qui recourent à des prestataires en France. Elle a donc dispensé ces traitements de formalités préalables, dans les conditions fixées par la Dispense n°15.

Cette possibilité est offerte à la Cnil par l’article 24 II de la loi Informatique et libertés. En effet, la Cnil peut définir des catégories de traitements de données à caractère personnel qui sont dispensées de formalités préalables. Néanmoins toute dispense accordée par la Cnil nécessite que le traitement de données à caractère personnel respecte strictement certaines conditions compte tenu de leurs finalités, de leurs destinataires, des données traitées, de la durée de conservation de celles-ci et des catégories de personnes concernées par le traitement.

 

A titre d’exemple, la Dispense n°15 prévoit un cadre stricte du flux transfrontières de données :

  • seul le renvoi de données vers le pays où ont été collectées ces données est possible : « Lorsqu’un prestataire effectue en France des traitements pour le compte d’un responsable de traitement établi en dehors de l’Union européenne et transfère ensuite « en retour » les mêmes données traitées vers ce même responsable de traitement établi hors de l’Union européenne, ce transfert vers le pays d’origine est exonéré d’autorisation préalable ».

Attention, cela exclut du champ de la dispense toute collecte de données en France en vue d’être transférées en dehors de l’Union Européenne !

Dès lors, il convient de faire attention. Dans l’hypothèse où votre traitement de données à caractère personnel ne répond pas strictement à une dispense, il conviendrait de réaliser la formalité préalable adaptée à votre traitement.

Nous contacter