• Home  / 
  • DELIBERATION 2011-023

DELIBERATION 2011-023

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,
Vu la convention n°108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et notamment ses considérants n° 49 à 52 et ses articles 18, 19 et 21;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment ses articles 24-II, 69-6° et 69 alinéa 8 ;
Vu la délibération n°2004-096 du 9 décembre 2004 décidant la dispense de déclaration des traitements de gestion des rémunérations mis en œuvre par l'Etat, les collectivités locales, les établissements publics et les personnes morales de droit privé gérant un service public (Dispense n°1) ;
Vu la délibération n°2004-097 du 9 décembre 2004 décidant la dispense de déclaration des traitements de gestion des rémunérations mis en œuvre par les personnes morales de droit privé autres que celles gérant un service public (Dispense n°2) ;
Vu la délibération n°2005-002 du 13 janvier 2005 portant adoption d'une norme destinée à simplifier l'obligation de déclaration des traitements mis en œuvre par les organismes publics et privés pour la gestion de leurs personnels (Norme Simplifiée n°46) ;
Vu la délibération n°2005-112 du 7 juin 2005 portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects (Norme simplifiée n°48) ;
Après avoir entendu M. Didier Gasse, commissaire, en son rapport et Mme Elizabeth Rolin, commissaire du Gouvernement, en ses observations ;
Formule les observations suivantes :
La Commission constate que des entreprises et organismes, établis en dehors de l’Union européenne, font réaliser par des prestataires situés en France des traitements automatisés concernant la gestion de leurs employés ou leurs fichiers de clients et prospects. Les données personnelles relatives à leurs employés et leurs clients sont collectées hors de l'Union européenne. Ces entreprises, qui sont responsables de traitement au sens de l’article 3 de la loi du 6 janvier 1978, recourent à des moyens de traitement situés sur le territoire français et sont soumises à ce titre aux dispositions de la loi informatique et libertés, aux termes de son article 5.
Dans le cadre des prestations réalisées, le responsable de traitement transfère des données à caractère personnel vers son prestataire en France puis ce prestataire, après traitement, retransmet ces données personnelles au responsable de traitement.
Les traitements effectués en France par le prestataire concernent des données personnelles collectées hors de l'Union européenne sous l’autorité du responsable de traitement établi hors de l’Union européenne. Enfin, le transfert après traitement de ces données du prestataire vers le responsable de traitement hors de l'Union européenne présente un risque limité pour la vie privée des personnes concernées, puisqu'il s'agit d'un transfert en retour vers le pays d'origine.
Compte tenu de ces éléments, la Commission estime qu'il y a lieu de faire application des dispositions de l'article 24-II de la loi du 6 janvier 1978 modifiée et de dispenser ces traitements de toute formalité déclarative préalable. Elle considère, en outre, que le transfert « en retour » des données vers le pays d'origine relève des exceptions prévues aux articles 69-5° et 69-6° de la loi précitée. Le transfert est en effet considéré comme nécessaire :
- à l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ; ou
- à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers.
Décide :
Article premier
Sont dispensés de déclaration les traitements de données à caractère personnel qui répondent aux conditions suivantes.
Article 2 : Finalités des traitements
Les traitements ont pour finalités :
a) la gestion des rémunérations telle que prévue par les dispenses de déclaration n° 1 et 2;
b) la gestion des employés telle que prévue par la norme simplifiée n° 46 ;
c) la gestion des fichiers de clients et de prospects telle que prévue par la norme simplifiée n°48.
Article 3 : Données traitées
Les données collectées hors de l'Union européenne et susceptibles d'être traitées pour la réalisation d'une des trois finalités énoncées à l'article 2 sont limitées respectivement :
a) pour la gestion des rémunérations, aux données mentionnées à l’article 3 des dispenses de déclaration n° 1 et 2, sous réserve des adaptations résultant de l'application de la législation du pays dans lequel le responsable de traitement est établi ;
b) pour la gestion des employés, aux données mentionnées à l’article 3 de la norme simplifiée n° 46, sous réserve des adaptations résultant de l'application de la législation du pays dans lequel le responsable de traitement est établi ;
c) pour la gestion des fichiers de clients et de prospects, aux données mentionnées à l’article 3 de la norme simplifiée n°48, sous réserve des adaptations résultant de l'application de la législation du pays dans lequel le responsable de traitement est établi.
Article 4 : Durée de conservation des données
La durée de conservation des données, qui dépend en premier lieu des dispositions du contrat de sous-traitance, n’excède pas la durée nécessaire à la gestion des rémunérations, à la gestion des employés ou de la relation client, sous réserve des adaptations résultant de l'application de la législation du pays dans lequel le responsable de traitement est établi.
Article 5 : Destinataires des données
Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires, de tout ou partie des données, les responsables de traitements établis en dehors de l'Union européenne qui ont transféré des données personnelles, telles que définies à l’article 3, à des prestataires chargés du traitement de ces données sur le territoire français. Peuvent également être destinataires des données les personnes, habilitées par le responsable de traitement, si la transmission est effectuée dans l’intérêt de la personne concernée.
Article 6 : Information des personnes concernées
Lorsqu'un prestataire effectue en France des traitements pour le compte d'un responsable de traitement établi en dehors de l'Union européenne, relativement aux salariés ou aux clients de celui-ci, les dispositions de la loi du 6 janvier 1978 modifiée relatives à l'information des personnes ne s'appliquent pas relativement à ces salariés ou ces clients, quand elle exige des efforts disproportionnés par rapport à l'intérêt de la démarche, en application des dispositions de l'article 32-III de cette même loi.
Article 7 : Sécurité
Conformément aux articles 34 et 35 de la loi du 6 janvier 1978 modifiée, le responsable de traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, et ce, de la première transmission des données jusqu’au terme de la relation contractuelle entre les parties. A cet effet, il doit s’assurer que le prestataire présente des garanties suffisantes pour mettre en œuvre les mesures de sécurité et de confidentialité nécessaires. A cet égard, le contrat liant le prestataire au responsable du traitement doit comporter l’indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données et prévoir que le prestataire ne peut agir que sur instruction du responsable du traitement. Une politique visant à contrôler les accès au traitement et à sécuriser les communications des données doit notamment être mise en œuvre.
Article 8 : Transfert « en retour » vers le pays d'origine
Lorsqu’un prestataire effectue en France des traitements pour le compte d’un responsable de traitement établi en dehors de l’Union européenne et transfère ensuite « en retour » les données personnelles traitées vers ce même responsable de traitement établi hors de l’Union Européenne, ce transfert vers le pays d'origine est exonéré d'autorisation préalable en application des dispositions de l’article 69-5° et de l'article 69-6° de la loi du 6 janvier 1978 modifiée.
Article 9 : Désignation d’un représentant légal
Aux termes de l’article 5 de la loi de 1978 modifiée, le responsable de traitement établi uniquement hors de l’Union européenne désigne un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement des obligations prévues par la loi de 1978 ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui.
Article 10 : Effets de la dispense de déclaration
Les traitements répondant aux conditions visées aux articles 2 à 9 de la présente dispense peuvent être mis en œuvre sans délai et sans déclaration préalable auprès de la CNIL. Pour autant, cette dispense de déclaration n'exonère le responsable de tels traitements d'aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel.
Article 11
La présente délibération est publiée au Journal officiel de la République française.

Le Président,

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: