Les flux transfrntières de dnnées Bertrand LAPRAYE CIL, Alcatel Lucent Jean-Françis SIMON CIL, Nestlé Dcument cnfidentiel Ne pas diffuser sans autrisatin 1
QUEL PAYSAGE AVANT LE PROJET DE REGLEMENT EUROPEEN? Unicité de l Unin Eurpéenne : seuls les transferts hrs U.E snt des transferts Une ntin clé : les pays à «niveau de prtectin adéquat» Un mécanisme ad-hc pur les Etats-Unis : le «Safe Harbr» Des clauses cntractuelles types : Entre 2 Respnsables de traitement : décisins de la Cmmissin du 15/6/2001 (2001/497/CE) et du 24/12/2004 (3004/915/CE) Entre un Respnsable de traitement et un sus-traitant : décisin du 5/2/2010 (2010/87/UE) Un mécanisme des BCR («Binding Crprate Rules», u «règles d entreprise cntraignantes» ) recnnu Un régime d autrisatins délivrées par la CNIL, dans le cadre de la Directive 95/46/CE et de la li «Infrmatique et Libertés» En résumé, une apprche «frmelle» des transferts de dnnées utilisant frtement le mécanisme du «Safe Harbr» et des demandes d autrisatin nmbreuses (Maghreb, Asie.) 2
QUOI DE NOUVEAU DANS LE PROJET DE REGLEMENT? Article 41 : caractère adéquat du niveau de prtectin ( actes d exécutin prcédure de cmité Article 87) Par décisin de la Cmmissin (législatin existante, recurs effectif, traités et cnventins) Décisin a cntrari de nn-adéquatin entrainant la prhibitin des transferts Article 42 : les garanties apprpriées Les BCR adptées par une DPA sur base de l article 57 Autrisatin d une DPA (article 34) avec étude d impact préalable Article 43 : les BCR Appruvé par une DPA avec effectivité des drits et engagement de respnsabilité Sur la base des pratiques et des exigences actuelles des DPAs En résumé, une évlutin plutôt qu une révlutin, avec d imprtants mécanismes de Chérence (articles 57 à 63) impliquant la Cmmissin, CEPD et DPAs. 3
LES REACTIONS DE LA CNIL ET DES AUTRES PARTIES PRENANTES Parmi ses réactins assez vives au prjet, la CNIL a suligné la prise de psitin du G29 vis-à-vis du traitement des transferts internatinaux. Champ d applicatin ; dérgatins trp vastes ( limitatin au «nn massif, nn répétitif» ) Limitatin du recurs aux instruments nn cntraignants Cnsultatin bligatire du CEPD sur décisin d adéquatin de la Cmmissin Réactin à l unissn du Parlement ( Assemblée Natinale en février 2012, Sénat en Mars 2012) dans des réslutins eurpéennes Rapprt de la cmmissin LIBE du Parlement Eurpéen du 22 Nvembre 2013 : nmbreux cnsidérants relatifs aux transferts En résumé, les autres acteurs eurpéens de la prtectin des dnnées redutent une Cmmissin tute puissante et laxiste! 4
UN CONTEXTE EXPLOSIF : L AFFAIRE SNOWDEN ET LES ECOUTES NSA Au début de l été 2013, en curs du prcessus d adptin du nuveau règlement, éclate le scandale des écutes de la NSA. Celles-ci mettent en évidence la cllabratin extensive des entreprises US, ntamment GAFA, avec la NSA. Cela a des cnséquences frtes sur le «Safe Harbr», mécanisme déjà challengé, et sur les exigences vis-à-vis du nuveau règlement. Le 27 Nvembre 2013, la Cmmissin mets en demeure les Etats-Unis de «make the Safe Harbr safer», ntamment sur l effectivité des recurs et le respect des bligatins déclaratives. Les prpsitins d amendement du Parlement Eurpéen sur le Règlement et ses interprétatins futures en snt teintées. Les résultats des lbbyings rendent imprbables une adptin en l état. A tut le mins, la cnfrmité pératinnelle est sur le devant de la scène. 5
ADOPTE OU PAS, QU A DÉJÀ CHANGE LE PROJET DE REGLEMENT? Les différents mécanismes juridiques sécurisant les transferts reçivent une égale cnsécratin. Le «Safe Harbr» a mntré ses limites : un tampn ne suffit pas, ni aux sujets des dnnées, ni aux DPAs, ni aux entreprises. Les bligatins de cnfrmité ne se limitent plus à une cnfrmité frmelle. Le détail des exigences, les chaines de respnsabilité et les pssibilités de mise en cause de celles-ci impliquent une cnfrmité pératinnelle. Celle-ci s appuie sur des prcess : Etudes d impact Privacy by design ( transfert du minimum requis, sécurisatin des flux) La «cludisatin» des dnnées et traitements implique des études ad-hc pur qualifier les transferts Une lecture pératinnelle du règlement est tut à fait pssible. Tut dépend des actes d exécutin, du mécanisme de chérence et de la jurisprudence des DPAs et du CEDP. 6
QUELLE ATTITUDE DOIT ADOPTER VOTRE ENTREPRISE/ENTITE? Peu de buleversements pur les 48 grands grupes ayant déjà mis en place des BCR: 10 grupes Français : AXA, AXA Private Equity, CMA-CGM, Hermès, HR Access, Michelin, OVH, Safran, Sanfi Aventis, Sciété Générale Quelques grands grupes eurpéens : BP, Deutsche Pst DHL, NOVARTIS, Ryal Philips Electrnics, Shell Internatinal B.V., Siemens Grup Un nmbre imprtant de filiales de grupes américains : Accenture, American Express, Cargill, General Electric (GE) Pur les entreprises ayant un prcess DP en place ne recurant pas aux BCR mais aux mécanismes standards : renfrcer sn caractère pératinnel, les audits et études d impacts. Prcédure de mise en place de BCR encuragée, et facilitée par le «ne-stp shp», ntamment pur les grupes français et eurpéens. L ptin «clauses cntractuelles types» ffre plus de suplesse: une fis autrisées par une DPA, elles peuvent être déclarées, par la Cmmissin, «généralement applicables». Une palette de myens mieux adaptés aux différentes tailles d entreprises, à leur écsystème et à la lcalisatin de leur «établissement principal» en Eurpe. 7
QUELLE ATTITUDE DOIT ADOPTER LE DPO/ JURISTE D ENTREPRISE? Le frmalisme actuel des déclaratins avec «annexe transfert» n a plus grand sens : adptin rapide u pas du règlement, il faut définitivement passer de la cnfrmité frmelle statique à une cnfrmité réelle dynamique. Le DPO dit s impliquer dans la négciatin cntractuelle et l implémentatin des slutins. En fnctin de sn prfil et de la taille de sn entreprise, cela passe par : une frmatin persnnelle lui permettant d intervenir en amnt des prjets la mise en place de prcess d évaluatin de la criticité et de la cmplexité des transferts le recurs à des cnseils et des relais vers les DPAs dans les différents pays eurpéens cncernés. La fnctin de DPO devra désrmais embrasser l ensemble des étapes de mise en place d un traitement nécessitant des flux transfrntières, et sera mins que jamais une «chambre d enregistrement». 8