Il existe en France et en Europe un cadre réglementaire rigoureux en matière de protection des données à caractère personnel (1). Ce cadre impose à l’ensemble des organisations traitant des données personnelles des obligations strictes, notamment en matière de transparence (formalités déclaratives auprès des régulateurs de protection des données, information des personnes concernées qui bénéficient de droits), de protection de la sécurité et de la confidentialité des données et d’encadrement des transferts de données en dehors de l’Espace économique européen.

Il opère une distinction structurante entre le responsable de traitement, défini comme "la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens" du traitement, et le sous-traitant qui traite des données selon les instructions du responsable de traitement, par exemple les prestataires de services informatiques. Dans la plupart des cas, les prestataires agissent comme sous-traitants et doivent à ce titre apporter des garanties à leurs clients, considérés comme responsables de traitements au sens de la loi "informatique et libertés", sur la conformité des traitements qu’ils effectuent pour leur compte.

S’agissant des transferts de données à caractère personnel en dehors de l’Espace économique européen, la loi du 6 janvier 1978 dispose que le responsable d’un traitement ne peut transférer des données vers un État établi hors de l’Union européenne que si celui-ci assure un niveau de protection suffisant en matière de protection des données, lequel est formellement reconnu par une "décision d’adéquation" adoptée par la Commission européenne. Or à ce jour, relativement peu de pays ont vu reconnaître leur loi comme offrant un niveau de protection équivalent à celui offert par la réglementation européenne (2). Dans ce contexte, une société française qui souhaite transférer des données en dehors de l’Union européenne doit principalement s’appuyer sur l’article 69, alinéa 8 de la loi de 1978 qui permet de déroger à ce principe dès lors que le traitement garantit un niveau de protection suffisant "en raison des clauses contractuelles ou règles internes dont il fait l’objet".

Ces Binding Corporate Rules (BCR) ont vocation à répondre aux deux difficultés évoquées ci-dessus.

En l’absence de définition légale précise, celles-ci sont définies par la CNIL comme "un code de conduite, définissant la politique d’une entreprise en matière de transferts de données".

Elles constituent à ce jour un mécanisme de gouvernance des transferts intra-groupe qui séduit de plus en plus de groupes de sociétés et qui est encouragé par les régulateurs. Ceux-ci ont d’ailleurs mis en oeuvre un mécanisme de "reconnaissance mutuelle" couvrant vingt pays de l’Union européenne et permettant de simplifier la procédure d’instruction des BCR. En effet, afin d’être régulièrement mis en œuvre, celles-ci doivent faire l’objet d’une autorisation administrative de la part des régulateurs nationaux impliqués au plan européen.

Pour un groupe, les avantages liés à la mise en place de BCR sont nombreux. D’une part elles permettent à celui-ci d’être en conformité avec les principes de la directive européenne 95/46/CE en matière de transferts de données transfrontaliers. D’autre part elles dotent l’entreprise de procédures opérationnelles et uniformes pour assurer la conformité de son organisation au cadre juridique européen en matière de protection des données. Au-delà, elles permettent à un organisme de communiquer auprès de ses clients, partenaires et salariés sur sa politique de gestion de la conformité "Informatique et Libertés".

En revanche, et jusqu’à présent, les BCR ne pouvaient être utilisées que par des responsables de traitement pour encadrer l’ensemble des transferts de données à caractère personnel au sein de leur groupe. Autrement dit, il n’était pas possible pour un prestataire de mettre en place des BCR pour encadrer les transferts de données qu’il effectuait pour le compte de ses clients. C’est la raison pour laquelle les BCR sous-traitants étaient très attendues par les prestataires, en particulier dans le contexte du développement des services de cloud computing pour lesquels les outils juridiques d’encadrement des transferts, à savoir la conclusion de clauses contractuelles types sur le modèle proposé par la Commission européenne et/ou l’adhésion au Safe Harbor (3) n’offrent pas un niveau de sécurité juridique suffisant. D’une part, les clauses contractuelles standard proposées par la Commission européenne ne gèrent que des transferts bilatéraux, ce qui ne correspond pas à la réalité du cloud computing où les données ont vocation à être hébergées sur différents serveurs, potentiellement chez différents sous-traitants et à différents moments. D’autre part, le Safe Harbor présente aussi un certain nombre de limites puisqu’il ne gère que les transferts qui transitent par les Etats-Unis.

C’est dans ce contexte que depuis assez longtemps les prestataires, mais aussi leurs clients qui souhaitent bénéficier de la flexibilité et de la baisse des coûts apportées par les solutions de cloud computing, appellent de leurs voeux la reconnaissance des BCR dédiés aux sous-traitants, l’idée étant de permettre aux prestataires de présenter à leurs clients une sphère de sécurité au sein de laquelle le prestataire pourrait librement transférer parmi ses sous-traitants qui font partie de son groupe, les données qu’il traite pour le compte de ses clients, en appliquant à ces transferts un ensemble de procédures, de règles, d’outils pour protéger les données.

Dans ce contexte, les 6 et 7 juin 2012 à Bruxelles, les régulateurs de la protection des données, dans le cadre du groupe de l’article 29, ont adopté un document de travail sur les BCR pour les sous-traitants.

Ce document comporte une liste d’obligations qui seront auditées par les régulateurs (la CNIL en France) pour être éligibles au bénéfice de l’approbation des BCR pour sous-traitant. Cette initiative répond à la fois aux demandes des prestataires informatiques, dans un contexte où le projet de règlement européen (4), qui a vocation à remplacer la Directive 95/46 sur la protection des données, prévoit, d’une part, la reconnaissance officielle des BCR, et d’autre part, fait peser un niveau de responsabilité beaucoup plus important sur les sous-traitants qu’à l’heure actuelle.

Dans le cadre de l’instruction des BCR sous-traitants, l’approche qui va être adoptée par l’autorité coordinatrice va être très similaire à l’approche adoptée actuellement par les régulateurs de la protection des données à caractère personnel s’agissant des BCR pour responsables de traitement. L’évaluation de la conformité des BCR va surtout s’articuler autour de la revue, d’une part, du caractère opposable et contraignant des règles posées par les BCR tant aux entités juridiques qui forment le groupe qui sollicite la reconnaissance de ces BCR qu’aux personnes fichées concernées par les traitements (par ex. des salariés ou des clients) et, d’autre part, de l’effectivité des règles posées par les BCR.

En d’autres termes, et comme en matière de BCR pour responsable de traitement, ce sont les procédures et les outils mis en place pour s’assurer de la bonne application des règles posées par les BCR qui vont être examinés par les régulateurs (la CNIL en France) avec des aménagements liés à l’élargissement des parties prenantes, c’est-à-dire, dans le cas des BCR sous-traitants : d’une part, les sociétés du groupe du prestataire qui sollicite la reconnaissance de ces BCR sous-traitants et leurs employés qui vont devoir veiller au respect des règles des BCR et, d’autre part, le responsable de traitement et les personnes concernées par les BCR, essentiellement les employés des clients de ces prestataires, qui constituent la majeure partie des données qui vont être traitées par ces prestataires, notamment dans le cadre d’opération d’externalisation pouvant recourir au cloud computing.

Une fois que les régulateurs en charge de l’instruction des BCR ont pu vérifier l’opposabilité et le caractère contraignant de ces BCR aux parties prenantes, les régulateurs à la protection des données vont porter leur attention sur l’effectivité des règles consacrées dans les BCR, c’est-à-dire les moyens qui sont mis en place pour que les règles prévues par les BCR s’appliquent correctement au sein du groupe du prestataire. Les principaux outils qui vont être audités sont notamment les programmes de formation, les procédures de gestion des plaintes, les programmes d’audit ainsi que l’organisation matricielle de la protection des données.

Les BCR sous-traitants vont répondre à un souci opérationnel majeur des sous-traitants qui pourront maintenant plus facilement utiliser le cloud computing en offrant une sphère de sécurité juridique, organisationnelle et technique à leurs clients tant sur les questions de sécurité et confidentialité des données que s’agissant de la gestion des transferts au sein du groupe. En outre, les BCR vont apporter beaucoup plus de sécurité aux personnes concernées et au responsable de traitement, et vont permettre aux prestataires de services informatiques d’apporter une alternative à un traitement sur le territoire de l’Union européenne. Ils constituent en effet un biais ou une approche pour éviter d’avoir à proposer des solutions 100% européennes, qui est un objectif difficile pour de nombreux acteurs, le traitement des données restreint au territoire de l’Union européenne ne correspondant en effet pas forcément aux besoins du marché et aux contraintes sur les coûts qui pèsent sur les acteurs de l’externalisation, voire à l’organisation actuelle d’un certain nombre de prestataires qui ne peuvent pas du jour au lendemain repenser leur organisation.

Enfin, une prime sera là encore donnée aux entreprises qui ont déjà fait la démarche d’adopter des BCR "responsables de traitement", puisqu’elles pourront capitaliser sur les procédures et les outils qui ont déjà été approuvés par les régulateurs de protection des données.

Fabrice Naftalski, Ernst & Young Société d'Avocats

____________________________
NOTES

1. Loi 78-17 du 6 janvier 1978 ; Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
2. Il s’agit des pays membres de l’Association européenne de libre échange de l’Espace économique européen, à savoir l’Islande, le Liechtenstein et la Norvège, ainsi que les sept pays suivants : Argentine, Suisse, Canada, île de Man, Guernesey, Jersey, la Nouvelle Zélande et Israël
3. Conformément à la décision de la Commission européenne en date du 26 juillet 2000, l’adhésion aux principes du Safe Harbor offre la garantie d’un niveau de protection adéquat pour les transferts de données à caractère personnel effectués par un responsable de traitement localisé dans l’Espace économique européen vers une entité juridique localisée aux Etats-Unis (i.e., importateur de données américain ayant adhéré au Safe Harbor)
4. Proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données - COM(2012) 11 - 25 janvier 2012)