La banque et les transferts hors UE de données personnelles

La mutualisation d’un certain nombre d’outils et le partage d’informations entre les entités d’un même groupe s’appuient nécessairement sur des transferts de données [1] . À ces impératifs d’échange, on peut ajouter le recours à des prestations informatiques externalisées – comme l’hébergement dans un cloud non européen –ou, plus globalement, les traitements réalisés par des sous-traitants implantés à l’étranger (vers les pays du Maghreb, par exemple). Tous les types de traitement sont concernés, du fichier RH au fichier client en passant par des traitements plus spécifiques (lutte contre la fraude, LAB, sécurité…). D’où l’importance stratégique de ces traitements de données dont la conformité doit être assurée.

Principes applicables au transfert de données

Au principe de libre circulation [2] des données à caractère personnel au sein de l’Union européenne (UE) et de l’EEE (Espace économique européen comprenant la Norvège, le Liechtenstein et l’Islande), et vers les pays auxquels la Commission européenne reconnaît un niveau de protection équivalent à celui des États membres de l’UE (les bénéficiaires d’une décision d’adéquation étant les suivants : Argentine, Canada, Guernesey, Île de Man, Jersey, Suisse, Israël et les entreprises américaines ayant adhéré au « Safe Harbor »), l’article 68 de la loi du 6 janvier 1978 oppose aux responsables de traitements l’interdiction de transférer des données à caractère personnel vers les autres pays étrangers.

Les exceptions au principe d’interdiction, prévues par l’article 69 de la loi de 1978 sont d’interprétation stricte et ne sauraient être invoquées que si le transfert est nécessaire :

• à la sauvegarde de la vie de la personne concernée ;
• à la sauvegarde de l’intérêt public ;
• au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
• à la consultation d’un registre public ;
• à l’exécution d’un contrat entre le responsable de traitement et l’intéressé ;
• à la conclusion ou à l’exécution d’un contrat conclu ou à conclure dans l’intérêt de la personne concernée.

Également, et plus pragmatique en ce qu’elle permet de répondre à des situations récurrentes au sein d’un groupe multinational, une dernière exception à l’interdiction de transfert vers les États ne bénéficiant pas d’une décision d’adéquation de la Commission européenne  repose sur l’encadrement contractuel de l’exportation des données des clauses types, soit par des règles d’entreprise contraignantes ( Binding Corporate Rules – BCR).

Les outils utilisés dans la pratique

La Commission européenne pour faciliter l’encadrement des transferts de données en dehors de l’UE a adopté trois jeux de Clauses contractuelles types (CCT). Deux jeux de CCT concernent les transferts de données à caractère personnel de responsable de traitement à responsable de traitement [3] . Un seul jeu de CCT vise à encadrer les transferts de données à caractère personnel de responsable de traitement à sous-traitant [4] . Or, si ces CTT prévoient la sous-traitance unique, force est de constater qu’elles envisagent de façon très imparfaite la sous-traitance ultérieure. Aux possibles difficultés de détermination de la qualité des intervenants (exportateur et importateur de données) et, partant, du jeu de clauses applicables, on peut ajouter celles liées au choix des formalités à accomplir auprès de la CNIL. En effet, le régime du transfert (autorisation automatique, demande d’autorisation ou déclaration) variant en fonction du traitement principal (i.e. traitement d’origine), les responsables de traitement sont parfois très embarrassés quant au fait de choisir la formalité idoine.

La pratique des BCR, bien que non expressément prévue par les textes légaux, s’est instaurée sous l’impulsion du Groupe de travail de l’article 29 (G29) qui a créé une « boîte à outils » décrivant les éléments que devaient contenir de tels instruments d’encadrement des transferts hors UE. Les modèles de BCR ainsi proposés par le G29 sont en réalité des schémas directeurs qui doivent être adaptés à chaque situation particulière, en fonction de la politique du groupe pour la protection des données à caractère personnel. La complexité de leur mise en œuvre s’est réduite avec l’expérience des différents acteurs destinés à intervenir dans le processus de leur élaboration puis d’adoption (organisations et autorités de contrôle, les groupes d’entreprise, le G29, etc.).

Les BCR entre responsables de traitement ont alors connu un certain succès, en dépit du temps nécessaire à leur déploiement. Dans la logique de rationalisation des contraintes et lourdeurs administratives liées à l’encadrement des transferts de données le G29 a proposé en 2012 et en 2013 des documents sur la possibilité de BCR entre responsables de traitement et sous-traitants [5] . Ce mécanisme de soft law pourrait connaître une certaine consécration du fait de son insertion dans la proposition de règlement européen sur la protection des données à caractère personnel du 25 janvier 2012.

Les perspectives d’évolution

De manière générale, l’esprit de la proposition de règlement européen, au-delà de l’uniformisation du droit de la protection des données à caractère personnel avec un même texte pour les 28 États, est de simplifier les contraintes administratives appliquées aux traitements de ces données et, en particulier, au regard des formalités déclaratives préalables à leur mise en œuvre. Dans cette perspective d’allégement, les articles 40 et suivants de la proposition dédiés aux transferts « internationaux » de données ont prévu quelques aménagements eux-mêmes amendés par la Commission LIBE (Libertés civiles, justice et affaires intérieures) qui a déposé son rapport le 22 novembre 2013.

En l’état de la proposition législative, pour qu’un transfert de données puisse être effectué depuis un État membre de l’UE, le destinataire doit être situé dans un État tiers ou sur un territoire ou secteur garantissant  un niveau de protection adéquat constaté par la Commission. La licéité du transfert peut également reposer sur l’adoption de garanties appropriées ou relever d’une des dérogations limitativement énoncées dans la proposition. En présence d’une décision d’adéquation, le transfert n’a pas besoin d’être autorisé.

De même, les garanties appropriées suivantes permettent d’échapper à une autorisation spécifique : les BCR, le label européen de protection des données octroyé au responsable du traitement et au destinataire et les clauses types de protection des données adoptées par une autorité de contrôle (remplaçant les CCT actuelles de la Commission européenne).

En revanche, les clauses contractuelles, créées par la proposition de règlement, adoptées entre un responsable de traitement ou un sous-traitant et un destinataire doivent être autorisées par une autorité de contrôle.

Ceci étant, la pression du calendrier risque fort de reporter sine die le vote de cette proposition de règlement. L’approche de la prochaine législature pourrait bien définitivement disqualifie tout ou partie  des travaux parlementaires. Donc des libertés et des droits fondamentaux à suivre par les banques !

1 Éric Caprioli, « Les flux transfrontières des données à caractère personnel en matière bancaire », Rev. Dr. banc. et fin., 2010, n° 1, p. 72. 2 Directive 95/46/CE sur le traitement des données à caractère personnel et la libre circulation de ces données (JOUE n° L 281 du 23 nov. 1995, pp. 31-50) ; Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et ses décrets d’application. 3 Décisions n° 2001/497/CE de la Commission du 15 juin 2001 et n° 2004/915/CE de la Commission du 27 décembre 2004. 4 Décision n° 2010/87/UE de la Commission du 5 février 2010. 5 Tableau des principes et éléments de ces BCR le 6 juin 2012, formulaire de demande d’approbation le 17 septembre 2012, lancement officiel le 5 décembre 2012 et un document explicatif en avril 2013.