Bureau de la protection des données personnelles (maurice) Titre:- «la problématique...

Bureau de la protection des données personnelles (maurice)

Titre:- «la problématique juridictionnelle et les enjeux du

transfert de données personnelles dans les opérations

d’externalisation»

Présentée par la Commissaire de la Protection des Données

Personnelles de Maurice (Mme Drudeisha Madhub)

Au séminaire de Dakar organisé par l’AFAPDP

19-21 septembre 2011

11/04/23 1


Avant d’introduire le sujet, je voudrais faire ressortir

que Maurice s’est dotée d’une législation en matière de

protection de données personnelles et vise à être

reconnue comme pays adéquat. C’est à souligner que

Maurice a déjà fait une demande d’accréditation auprès

de l’union européenne, mais vue la complexité de notre

législation inspirée de la loi britannique, une

assistance technique a été sollicitée pour une

évaluation des amendements requis de cette loi datant de

2004.

11/04/23 2


Maurice est également un des premiers pays africains qui

a consacré les TIC comme le troisième pilier de son

économie très récemment. L’externalisation ‘offshore’

des données provenant surtout de L’Europe vers Maurice

est donc un des fondamentaux de ce domaine surtout dans

les secteurs clés tels que ITO/BPO (externalisation des

processus informatiques et d’affaires) et le KPO

(externalisation des processus de connaissance).

11/04/23 3

Bureau de la protection des données personnelles (Maurice)

Cette présentation vise plutôt à etablir les principes

juridiques reconnus internationalement (en l’absence d’une

convention ou traité international) qui doivent être

applicables dans des opérations d’externalisation tels que

les services financiers et de comptabilité, les services de

paie, la gestion des ressources humaines, les centres

d’appels, ou encore la sous-traitance de processus de

connaissances, notamment dans les domaines juridiques, de la

recherche médicale, des essais cliniques, entre autres.

11/04/23 4


L’externalisation s’associe aussi à

« l’informatique en nuages » ou le

cloud computing et les réseaux

sociaux.

Or nous savons déjà quels sont les

risques que peuvent encourir une

organisation ayant recours à ces

outils souvent projetés comme des

merveilles de la technologie moderne

mais cachant les dessous d’une

technologie aux dangers multiples en

terme de sécurité et protection des

données personnelles.11/04/23 5


Le cloud computing apporte une problématique

complémentaire au niveau juridictionnel en permettant

aux entreprises d’externaliser ces services « dans les

nuages », c'est-à-dire sans savoir précisément où

seront réparties les ressources et capacités des

prestataires impliqués.

Les réseaux sociaux représentent aussi des énigmes en

termes juridictionnels car la compagnie responsable de

traitement (ou l’exportateur de données) ne se situe

pas nécessairement dans le même pays que ses clients ou

celui/ceux de son/ses sous-traitant/s (l’importateur/s

de donnees). La pluralité des acteurs ajoute à la

complexité de déterminer qui est responsable et de

quoi?

Le transfert de données personnellees doit être régi

d’une manière efficace et selon les règles nationales

applicables.

11/04/23 6


D’abord, quelles sont les dispositions

de la directive 1995 de L’UE qui

peuvent servir comme source

d’inspiration législative ou

contractuelle pour nos pays non-

membres de L’UE afin de contourner la

problématique territoriale?

Le préambule 18 considère qu'il est

nécessaire, que tout traitement de

données à caractère personnel effectué

dans la Communauté respecte la

législation de l'un des États membres. 11/04/23 7


Le préambule 19 considère que l'établissement

sur le territoire d'un État membre suppose

l'exercice effectif et réel d'une activité au

moyen d'une installation stable; que la forme

juridique retenue pour un tel établissement,

qu'il s'agisse d'une simple succursale ou d'une

filiale ayant la personnalité juridique, n'est pas

déterminante à cet égard; que, lorsqu'un même

responsable est établi sur le territoire de

plusieurs États membres, en particulier par le

biais d'une filiale, il doit s'assurer, notamment

en vue d'éviter tout contournement, que chacun

des établissements remplit les obligations

prévues par le droit national applicable aux

activités de chacun d'eux.11/04/23 8


Le préambule 20 considère que l'établissement,

dans un pays tiers, du responsable de traitement

de données ne doit pas faire obstacle à la

protection des personnes prévue par la présente

directive; que, dans ce cas, il convient de

soumettre les traitements de données effectués à

la loi de l'État membre dans lequel des moyens

utilisés pour le traitement de données en cause

sont localisés et de prendre des garanties pour

que les droits et obligations prévus par la

présente directive soient effectivement respectés;

Le préambule 21 considère que la présente

directive ne préjuge pas des règles de

territorialité applicables en matière de droit

pénal;11/04/23 9


Article 4 Droit national applicable1. Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque: a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable;b) le responsable du traitement n'est pas établi sur le territoire de l'État membre mais en un lieu où sa loi nationale s'applique en vertu du droit international public;c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté.2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même.

11/04/23 10


L’emphase est clairement mise sur le droit

national applicable où:-

les moyens utilisés pour le traitement de

données en cause du responsable du traitement

sont localisés;ou

le responsable du traitement est établi dans un

pays où sa loi nationale s'applique en vertu du

droit international public.

11/04/23 11


Le traitement est une notion très large au sens

de la loi, car il couvre « toute opération »

portant sur des données personnelles, « quel

que soit le procédé utilisé », et notamment la

collecte, l'enregistrement, la conservation, la

modification, l'utilisation et la communication

des données personnelles, entre autres.

11/04/23 12


L’article 2 prévoit que le «responsable du traitement» est la

personne physique ou morale, l'autorité publique, le service

ou tout autre organisme qui, seul ou conjointement avec

d'autres, détermine les finalités et les moyens du traitement

de données à caractère personnel; lorsque les finalités et les

moyens du traitement sont déterminés par des dispositions

législatives ou réglementaires nationales ou communautaires,

le responsable du traitement ou les critères spécifiques pour

le désigner peuvent être fixés par le droit national ou

communautaire.

Le «sous-traitant» est la personne physique ou morale,

l'autorité publique, le service ou tout autre organisme qui

traite des données à caractère personnel pour le compte du

responsable du traitement.

11/04/23 13


Par conséquent, les deux conditions fondamentales pour agir en

qualité de sous-traitant sont, d’une part, d’être une entité

juridique distincte du responsable du traitement et, d’autre part, de

traiter les données à caractère personnel pour le compte de ce

dernier.

L'activité de traitement peut se limiter à une tâche ou un contexte

bien précis, ou être plus générale et étendue.

En outre, le rôle de sous-traitant ne découle pas de la nature de

l'entité traitant des données mais de ses activités concrètes dans un

cadre précis. En d’autres termes, la même entité peut agir à la fois

en qualité de responsable du traitement pour certaines opérations de

traitement et en tant que sous-traitant pour d’autres opérations,

.11/04/23 14


et la qualification de responsable ou de sous-traitant doit

être évaluée au regard d’un ensemble spécifique de données ou

d’opérations.

La directive contient deux dispositions qui visent précisément

le sous-traitant et qui définissent de façon très détaillée

ses obligations en matière de confidentialité et de sécurité:

l’article 16 dispose que le sous-traitant lui-même, ainsi que

toute personne agissant sous son autorité qui accède à des

données à caractère personnel, ne peut les traiter que sur

instruction du responsable du traitement; et

11/04/23 15


l’article 17, qui porte sur la sécurité des traitements,

requiert un contrat ou un acte juridique contraignant qui

régit les relations entre le responsable du traitement et le

sous-traitant.

Ce contrat doit revêtir la forme écrite aux fins de preuve et

contenir un minimum de clauses, stipulant notamment que le

sous-traitant n’agit que sur la seule instruction du

responsable du traitement et met en oeuvre les mesures

techniques et d’organisation appropriées pour protéger les

données à caractère personnel. Le contrat doit comporter une

description suffisamment détaillée du mandat du sous-traitant.

11/04/23 16


À cet égard, les prestataires de services spécialisés dans

certaines opérations de traitement de données (par exemple, le

paiement des salaires) établissent souvent des contrats

standards à signer par les responsables du traitement, fixant

ainsi un certain mode de traitement standardisé des données à

caractère personnel.

Il peut arriver qu’un contrat ne désigne aucun responsable du

traitement mais qu’il contienne suffisamment d’éléments pour

attribuer cette responsabilité à une personne qui exerce

apparemment un rôle prédominant à cet égard.

11/04/23 17


Par exemple,l’affaire SWIFT démontre bien la première

supposition: la société SWIFT était officiellement considérée

comme le sous-traitant des données alors qu’en réalité, elle

intervenait, aussi dans une certaine mesure, comme responsable

du traitement des données. Donc, même si la désignation d’une

entité en tant que responsable du traitement ou sous-traitant

des données dans un contrat pouvait révéler des informations

intéressantes sur le statut juridique de l'entité, cette

désignation contractuelle n’est en soi pas définitive du

véritable statut juridique du responsable et du sous-traitant,

qui doit être déduit de circonstances concrètes.

Donc, le degré de contrôle réel exercé par une partie et le

degré d’influence sont des facteurs importants de

détermination de responsabilité.11/04/23 18


Exemple : Une Société est désignée comme sous-traitant de

données mais agit en réalité comme responsable de traitement:-

La société x propose des services de publicité promotionnelle

et de marketing direct à différentes sociétés. La société z

conclut un contrat avec x, aux termes duquel cette dernière

assure la publicité commerciale des clients de z, et est

désignée comme sous-traitant de données. Cependant, z décide

d’utiliser également la base de données des clients de x pour

promouvoir les produits de y. Cette décision d’ajouter une

finalité supplémentaire à celle pour laquelle les données à

caractère personnel ont été transmises fait de z le

responsable de cette opération de traitement envers y.

11/04/23 19


Certains critères pour déterminer la qualification des divers

sujets participant au traitement proposés par le groupe de

travail dans son opinion de 2010:

le nombre d’instructions préalables données par le responsable

du traitement, qui détermine la marge de manoeuvre laissée au

sous-traitant;

la surveillance exercée par le responsable du traitement sur

l’exécution du service. Un contrôle permanent et rigoureux

afin de s'assurer que le sous-traitant se conforme totalement

aux instructions et aux clauses contractuelles indique que le

responsable du traitement maîtrise totalement et exclusivement

les opérations de traitement;

11/04/23 20


la visibilité/l’image donnée par le responsable du

traitement à la personne concernée, et les attentes que

cette visibilité suscite chez les personnes concernées;

l'expertise des parties: dans certains cas, le rôle

traditionnel et l’expertise professionnelle du

prestataire de services jouent un rôle prépondérant,

pouvant entraîner sa qualification de responsable du

traitement.

11/04/23 21


Exemple:-Un responsable du traitement des données confie à un

centre d’appels certaines de ses activités et lui demande de

se présenter sous son identité lorsqu’il appelle ses clients.

Dans cet exemple, le centre agit en tant que sous-traitant des

données pour le compte du responsable du traitement.

La conclusion d'un contrat entre responsable et sous-traitant

peut être direct ou tripartite caracterisée par l’intervention

d’un intermédiaire ou l’entreprise peut mandater son sous-

traitant de signer un contrat inspiré du Modèle 2010( clauses-

types de L’UE pour gérer la relation responsable à sous-

traitant qui se situe en dehors de l’UE) avec son propre sous-

traitant, au nom et pour le compte de l'entreprise

externalisatrice, ce qui est très fréquent dans les opérations

d’externalisation. 11/04/23 22


Une solution à la problématique juridictionnelle est donc la

conclusion d’un accord entre les deux parties. Le contrat/acte

jurique peut aussi mentionner le pays compétent en termes de

juridiction, mais toutes les responsabilités qui découlent de

la loi du pays du responsable de traitement restent

applicables au contrat.

Par exemple, le responsable qui se trouve à maurice s’engage

contractuellement avec un sous-traitant au maroc. Les

obligations du responsable en vertu de la loi mauricienne sont

applicables au sous-traitant qui traite des données provenant

de maurice par le biais du contrat ou de l’acte juridique. Le

sous-traitant est lui aussi tenu des responsabilités qui lui

incombent de par la loi marocaine. 11/04/23 23


La relation responsable de traitement à sous-traitant est

souvent caractérisée par l’intervention d’un intermédiaire

dans le contexte de l’externalisation.

L’intermédiaire agissant comme sous-traitant, ne pourra lui-

même transférer les données à un sous-traitant qu’à condition

(i) d’avoir obtenu en amont l’accord écrit de l’entreprise

externalisatrice (qui conserve en effet la responsabilité

première du responsable de traitement) et (ii) d'imposer à son

propre sous-traitant les mêmes obligations que celles qu’il

aura lui même contractées dans son contrat de transfert de

données avec l’entreprise externalisatrice.

11/04/23 24


Pour assurer une visibilité effective à l’entreprise

externalisatrice, il conviendra d’imposer, sur toute la chaîne

contractuelle, au moyen d'un contrat ad hoc, la reproduction à

l’identique des engagements pris par l’intermédiaire envers

l’entreprise externalisatrice.

Par le biais d’un audit interne ou privacy-impact assessment,

l’intermédiaire peut s’assurer que les mesures requises ont

été implémentées par le/s sous-traitant/s.

C’est pour cette raison que les responsables de traitements

doivent s’assurer que les transferts de données sont effectués

vers des pays dotés de législations en matière de protection

de données personnelles et de surcroit sont reconnus comme des

pays adéquats en termes de protection.11/04/23 25


les responsables de traitements doivent aussi établir une

politique de sécurité interne qu’ils pourront par la suite

imposer contractuellemnt au sous-traitant.

Mais est-il pratique de supposer que le responsable est en

mesure de s’assurer concrētement que sa loi va être appliqué

dans son ensemble par un sous-traitant?

Pourtant, en tant que responsable de traitement, l’entreprise

se doit d’obtenir de son intermédiaire et/ou sous-traitant,

des garanties que les données qui seront transférées dans le

cadre d’une chaîne de sous-traitance maîtrisée par

l’intermédiaire ou sous-traitant, seront protégées

conformément à la Règlementation des Données Personnelles de

son pays.11/04/23 26


Donc, qu’en est-il des traitements hors

des frontières de L’UE ou des traitements

qui ne concernent pas des pays européens?

Je suis d’avis que les mêmes principes

énoncées dans la directive peuvent être

utilisés comme guide contractuel (qui sont

d’ailleurs reproduites dans maintes

législations nationales non-membres de

l’UE ou reconnus comme pays adéquats) pour

pallier aux manquements du droit national

dans le cas où des règles contraignantes

de protection de données personnelles font

défaut.

11/04/23 27


Ces mêmes principes peuvent être reproduites

dans des binding corporate rules concernant les

compagnies multinationales ou d’autres modèles

contractuels applicables dans le contexte local

qui peuvent aussi s’inspirer des principes

evoqués dans les clauses modēles de L’UE pour

justement régler ce problème de juridiction ou

les règles applicables.

Les BCRs correspondent à un code de conduite

que se fixent toutes les sociétés d’un même

groupe pour le traitement des données

transférées au sein du groupe.

11/04/23 28


Cependant, les BCR doivent toujours être soumises à

l'examen d'une autorité de protection des données

pour validation, afin d'être reconnues comme

apportant un niveau de protection suffisant. C’est

important afin d’éviter toute contraction au droit

national applicable.

Donc, il est proposé aux pays non-européens, dotés de

législation en matière de protection de données

personnelles de se pourvoir de ce mécanisme juridique

où la législation locale prévoit la validation des

BCRs au niveau local par les autorités de protection

de données personnelles.

11/04/23 29


Quels sont les avantages des BCR ?

Les BCR assurent la conformité avec les

principes énoncés par les articles 25 et 26 de

la Directive 95/46 européen pour tous les flux

de données, et servent à:-

harmoniser les pratiques relatives à la

protection des données personnelles au sein

d'un groupe,

prévenir les risques résultant de transferts de

données vers d’autres pays,

éviter la nécessité d'un contrat pour chaque

transfert unique au sein du même groupe,

11/04/23 30


Communiquer sur la politique de protection des

données de l'entreprise,

être un guide interne pour les employés pour

l’application des principes de protection de

données personnelles.

Mais dans le cas oū les BCRs ne sont pas

applicables, pour des compagnies qui ne sont

pas multi-nationales, il faudra toujours avoir

recours aux principes juridictionnels nationaux

ou contractuels.

11/04/23 31


La motivation primaire d’externaliser

est la réduction des coûts financiers,

fiscaux ou salariaux.

Cette présentation vise aussi à

démontrer qu’au-delà de l’intérêt

particulier de chaque partie prenante

dans ce processus, il faut aussi

s’assurer qu’une opération

d’externalisation offshore soit bien

montée et sa sécurité juridique

assurée pour que justement cela soit

plus profitable et non le contraire.

11/04/23 32


Article 17 Sécurité des traitements 1. Les États membres prévoient que le responsable du traitement doit mettre

en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et qu'il doit veiller au respect de ces mesures.

3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que:

- le sous-traitant n'agit que sur la seule instruction du responsable du traitement,

- les obligations visées au paragraphe 1, telles que définies par la législation de l'État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

4. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.11/04/23 33


Article 25 Principes 1. Les États membres prévoient que le transfert vers un pays tiers de données à

caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

3. Les États membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2.

4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.

5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.

6. La Commission peut constater, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

11/04/23 34


L’anonymisation des données:-

Les données anonymisées peuvent

être librement transférées. Encore

faut-il que l’anonymisation soit

effective et irréversible, ce qui

écarte les solutions techniques non

fiables, et les cas où

l’anonymisation n’a pas de sens

parce que le traitement suppose,

par essence, de manipuler des

données non-anonymisées.11/04/23 35


Il s’agit là d’une solution

essentiellement technique, dont le

coût de mise en oeuvre et les

contraintes opérationnelles doivent

être évaluées et validées avec soins.

Dans certains cas en effet ces coûts

sont susceptibles de gommer tout

avantage financier recherché avec

l’externalisation. Dans d’autres cas,

les contraintes opérationnelles sont

telles qu’elles disqualifient,

pratiquement, le recours à ce procédé.11/04/23 36


Quelles sont les obligations du

responsable et sous-traitant?

Les personnes concernées dont les données

personnelles sont traitées par

l’entreprise (qu’ils soient salariés,

clients, fournisseurs, partenaires, etc.)

doivent avoir été clairement informées de

la finalité des traitements les

concernant, des destinataires des données

collectées sur elles, des conséquences à

l’égard de tout refus de fournir leurs

données et de leurs droits d’accès et

rectification aux données les concernant

et détenues par l’entreprise.11/04/23 37


Les données collectées doivent être adéquates,

pertinentes et non excessives eu égard à la finalité

du traitement.

Les données doivent être traitées avec des mesures de

sécurité et de confidentialité adéquates.

Les données traitées doivent être conservées pour une

durée limitée, conformément à la règlementation

applicable dans le pays en question.

le traitement doit avoir fait l’objet d’une

déclaration à l’autorité du pays concerné par

l’entreprise responsable du traitement, selon les

exigences de la loi sur la protection des données

personnelles du pays.

11/04/23 38


Le sous-traitant doit pouvoir démontrer des

politiques, procédures et mesures de protection

techniques égales ou supérieures à celles du

responsable de traitement.

Le responsable peut procéder à une analyse des

vulnérabilités à distance pour déterminer

quelle information interne de l'entreprise

peuvent être accéder de l'extérieur.

Le responsable peut exiger du fournisseur de

sous-traitance de crypter toutes les données,

et des contrôles de sécurités physique et

technique peuvent être effectués.

11/04/23 39


Le responsable peut fournir des informations

partielles sur un client - et non le profil

complet, quand cela n’est pas nécessaire.

Lors de l'exécution d'un contrat écrit, les

dispositions suivantes devraient être inclus:

Une interdiction pour le prestataire de

services de divulguer ou d'utiliser les données

ou informations à d'autres fins que de mener à

bien les services contractés.

Le prestataire doit pouvoir fournir une copie

de toutes les données des clients en sa

possession ou de contrôle sur demande.

11/04/23 40


Le prestataire ne doit jamais autoriser

aucun accès extérieur aux données, sauf si

le responsable de traitement en a été

informé.

Enfin, une entreprise doit élaborer un

plan formel pour répondre au «pire

scénario» tels que le détournement de

données personnelles y compris les recours

juridiques qui seraient requis dans le cas

d'un incident de sécurité ou de rupture de

contrat.

Les clauses types de L’UE sont des modēles

qui couvrent aussi ces aspects.

11/04/23 41


11/04/23 42

Bureau de la protection des données personnelles (maurice) Titre:- «la problématique...

Documents

Transcript of Bureau de la protection des données personnelles (maurice) Titre:- «la problématique...