Certifier la conformité aux autorisations uniques de la CNIL

2.3 L'auto-régulation ne fonctionne pas

Le Dr Thilo Weichert, responsable de l'autorité de protection des données à caractères personnel dans le Land allemand du Schleswig-Holstein, soulignait dans un communiqué de presse en juillet 2010 les doutes qu'il nourrit quant à la validité des engagements des entreprises américaines vis à vis du programme de « Safe Harbor»²³⁹.

La polémique autour de la messagerie financière SWIFT et autour du transfert de données exigé par le gouvernement américain dans le cadre du Passager Name Record (PNR) sont autant d'exemples qui démontrent les limites de l'auto-régulation. L'absence de transparence et de mécanismes de régulation laisse planer un doute sur la légalité et la finalité de ces procédures comme l'a signalé à plusieurs reprises le Parlement européen.

2.4 Le cadre réglementaire présente des lacunes

236 point n° 77 p 22 de l'Avis n° 168 du G29

décembre 2009

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp168 fr.pdf

237 Point 68 p 18 de l'avis n°173

G 29 - Juillet 2010

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173 fr.pdf

238 point 2.2.5 p 12 dans « Une approche globale de la protection des données à caractère personnel dans l'Union européenne» Communication de la Commission au parlement européen - Novembre 2010 http://ec.europa.eu/justice/news/consulting public/0006/com 2010 609 fr.pdf

239 «On July 5th, 2010 the Australian privacy researcher Chris Connolly presented at an international privacy conference in Cambridge, UK, results from his second study on US companies' compliance with the safe harbor principles. According to his findings, 2170 US companies claim to be safe harbor privileged; whereof 388 were not even registered with the Department of Commerce (DOC). Among the registered companies 181 certificates were found to be not current due to lapse of time. The check on the 7th principle concerning enforcement alone showed that 940 out of the 2170 US companies do not provide information on how to enforce individuals' rights. 314 companies provide a dispute resolution scheme that costs between 2000 and 4000 US dollars. Thus, it is hardly surprising that not a single complaint procedure has been carried out. Despite the more than 2000 annual complaints about non-compliance with the safe harbor principles, the Federal Trade Commission (FTC) has prosecuted only seven organisations for falsely claiming safe harbor self-certification. The detailed results of the study will be published in August 2010»

«10th Anniversary of Safe Harbor - many reasons to act, but none to celebrate» Communiqué de presse - Datenshutz Schleswig Holstein 23 juillet 2010 https://www.datenschutzzentrum.de/presse/20100723-safe-harbor en.htm

117

Comme le souligne une étude récente de l'European Outsourcing Association (EOA) parue en décembre 2010, étude que nous avons déjà cité plus haut²⁴⁰, certaines configurations dans les procédures d'export de données à caractère personnel s'avèrent difficiles à traiter juridiquement dans le cadre défini par les Clauses Contractuelles Types.

L'étude évoque le fait par exemple que «si l'entreprise externalisatrice ne dispose pas d'une visibilité effective sur les flux de données entre son prestataire et les éventuels sous-traitants de celui-ci, ele prendra un risque en signant le Modèle (de CCT) puisqu'ele assumera dans ce cas, seule, la responsabilité de flux transfrontaliers de données dont elle ne contrôle ni le traitement, ni les sous-traitements ».

L'étude de conclure que «pour assurer une visibilité effective à l'entreprise externalisatrice, il conviendra d'imposer, sur toute la chaîne contractuelle, au moyen d'un contrat ad hoc, la reproduction à l'identique des engagements pris par le prestataire envers l'entreprise externalisatrice»

Cette situation donne parfois lieu à des aberrations cocasses comme le souligne Boris Wojtan dans la revue International Data privacy law ²⁴¹ . «L'absurdité des clauses contractueles types» précise-t-il « devient rapidement évident si l'on considère un exemple récent où eles ont été utilisés par un responsable un traitement et un prestataire de services dans le contexte d'un accord global d'externalisation comprenant 5 volets de service, impliquant 20 entités exportatrices et 4 prestataires importateurs de données. Cet exercice a donné lieu à 140 signatures de la part le responsable de traitements, 308 signatures pour le prestataire, 1.540 pages de documents papier, 123 Mo de données électroniques et plusieurs dizaines d'heures de travail, à la fois pour le client et le prestataire.»

Autre exemple. Lorsqu'un « prestataire situé au sein de l'UE sous-traite à un tiers situé hors UE. Ce scénario est fréquent car l'entreprise française recourt souvent à un prestataire installé en France ou dans un autre pays européen, qui dispose de filiales étrangères appelées à participer au projet d'externalisation. ... () les modèles de clauses types ne couvrent pas ces situations et le rapport du 11 octobre 2010 de la CNIL ne détaile pas les solutions pour couvrir ce scenario» nous dit l'étude.

Pour ce qui est des Binding Corporate Rules (BCR), leur mise en place demeure longue et coûteuse malgré les aménagements ²⁴² qui ont été apportées afin de pouvoir les faire valider par une seule autorité. Elles ne peuvent donc constituer une option pour les petites et moyennes entreprises et demeurent uniquement envisageables pour des groupes internationaux pour lesquels ce type de transfert est stratégique.