Même si on ne peut que reconnaitre l’importance de la protection des données personnelles, il y a des situations où l’application de la loi aboutit à un résultat contreproductif.

C’est notamment le cas lorsque la règlementation française vient à s’appliquer pour le traitement en France de données qui ne sont pas d’origine française, ni même européenne, alors même que les données repartiront dans leur pays d’origine suite au traitement opéré en France. Le cas se présente dans deux exemples classiques: celui d’un groupe international qui aurait centralisé en France certains traitements pour le groupe ou encore celui d’une société basée hors d’Europe qui utiliserait un prestataire en France pour traiter de données « non européennes ».

C’est ce deuxième cas de figure qui vient de connaitre une véritable « bouffée d’air » grâce à la dispense de déclaration n°15 publiée par la CNIL en février (Délibération n° 2011-023 du 20 janvier 2011 dispensant des traitements automatiques effectués sur le territoire français par des prestataires agissant pour le compte de responsables de traitement établis hors du territoire de l’Union Européenne et concernant des données personnelles collectées hors de l’Union Européenne ).

Il s’agit de ne plus pénaliser les prestataires français. En effet, des sociétés non européennes voulant externaliser certains traitements pour leur données non européennes devaient faire des déclarations en France auprès de la CNIL, voire des demandes d’autorisation pour la seule raison que leur prestataire est établi en France. Ceci est bien sûr très dissuasif. La problématique est devenue encore plus sensible avec le développement du cloud computing et l’utilisation de serveurs en France.

Sont dorénavant dispensés de déclaration en France, les traitements effectués en France par un prestataire situé en France (le texte n’exclu pas que ce prestataire soit intra-groupe pour autant qu’il ne soit pas coresponsable de traitement comme peuvent l’être par exemple, dans bon nombre de cas, les maisons mères), dans les situations suivantes :

• Lorsque le responsable de traitement n’est pas établi dans l’UE

• Lorsque ces traitements ont pour finalité :

– la gestion des rémunérations, de la paye et des relations avec les organismes comme la Sécurité sociale, telles que décrites par les dispenses 1 et 2 ;

– la gestion des ressources humaines telle que prévue par la norme simplifié n°46 ;

– la gestion des fichiers clients et prospects tels que décrits par la norme simplifiée n°48.

• Pour les seules données prévues dans les dispenses et normes simplifiées sus visées, sous réserve cependant des adaptations rendues nécessaires par la loi locale.

• Pour une durée de rétention qui n’excède pas ce qui est strictement nécessaire compte tenu de la loi locale.

• Et sont les destinataires sont exclusivement :

– les responsables de traitement qui ont transféré les données,

– le prestataire et

– les personnes habilitées par le responsable de traitement, mais seulement si le transfert est fait dans l’intérêt de la personne concernée.

De même le transfert des données traitées par le prestataire, vers le « pays d’origine » hors UE, ne requière pas d’autorisation préalable. Le texte semble cependant laisser des zones d’ombre ; lorsque le pays d’origine et de destination n’est pas celui du responsable de traitement (que ce soit par exemple des sociétés affiliées ou « personnes habilitées ».

Par ailleurs :

• Les obligations d’information des personnes concernées (salarié et clients) imposées par la loi française n’auront pas à être respectées « si cela requière des efforts disproportionnés ».

• Même les clauses modèles types de la Commission européenne ne sont pas requises. Le texte prévoit néanmoins qu’un contrat soit signé comportant des obligations de sécurité et de confidentialité des données et le fait que le prestataire se comporte comme un sous-traitant (à savoir seulement selon les instructions du responsable des traitements).

• Malgré la dispense le responsable de traitement devra néanmoins désigner un représentant légal en France conformément à la loi.

En conclusion même si le texte représente un assouplissement significatif il n’a pour autant pas pour objet d’écarter l’application de la réglementation française sur les données personnelles pour ce type de traitement et de relations. La dispense est strictement limitée à certains types de traitements et au sein même du texte, il apparait clairement que le droit français reste applicable (notamment l’obligation de nommer un représentant en France). Il s’agit fondamentalement de ne pas faire de la France une terre d’accueil pour des pratiques illégales. Ceci semble cohérent avec la réflexion menée par le groupe de l’article 29 sur la loi applicable (opinion n° 8/2010 du 16 décembre 2010) même s’il est admis qu’il faudrait pouvoir introduire d’avantage de souplesse lorsque le lien avec l’UE est très ténu.