Gros changements dans l’offshoring
Une transformation en profondeur des mécanismes de protection des données personnelles est attendue avec l’entrée en vigueur le 25 mai 2018 du règlement en la matière. Les données transférées hors-UE restent soumises au droit de l’union non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur.
Marché fortement influencé par la législation européenne, l’offshoring marocain s’apprête à vivre l’une des plus grands sauts juridiques de son histoire. Alors la Commission nationale de contrôle de la protection des données personnelles (CNDP) accueillait, le 22 février, ses homologues africains et européens et le 25 mai 2018, l’entrée en vigueur du règlement communautaire, qui s’appliquera à la majorité des grands donneurs d’ordre des opérateurs nationaux sans transposition, était au cœur des débats. Pour Lahoussine Aniss, SG de la CNDP, «l’alignement sur ces nouvelles normes permettra non seulement aux opérateurs marocains de se doter d’un avantage concurrentiel, mais également de crédibiliser le système national de protection». Le règlement s’applique en effet dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les «cibler». En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par internet. Alors, alors que le droit de la protection des données actuel concerne essentiellement les «responsables de traitement», c’est-à-dire les organismes qui déterminent les finalités et les modalités de traitement de données personnelles, le règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement. Les entreprises seront en contact avec un «guichet unique», à savoir l’autorité de protection des données de l’État membre où se trouve leur «établissement principal», désignée comme l’autorité «chef de file». Cet établissement sera soit le lieu de leur siège central dans l’UE, soit l’établissement au sein duquel seront prises les décisions relatives aux finalités et aux modalités du traitement. Les entreprises bénéficieront ainsi d’un interlocuteur unique pour l’Union européenne en matière de protection des données personnelles, lorsqu’elles mettront en œuvre des traitements transnationaux.
Ainsi, les responsables de traitement et les sous-traitants peuvent transférer des données hors-UE seulement s’ils encadrent ces transferts avec des outils assurant un niveau de protection suffisants et appropriés des personnes. Par ailleurs, les données transférées hors-union restent soumises au droit de l’UE non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur. Donc hormis les transferts fondés sur une décision d’adéquation de la Commission européenne, les responsables de traitement et les sous-traitants peuvent mettre en place des règles d’entreprises contraignantes (BCR), des clauses contractuelles types approuvées par la Commission européenne ou encore des clauses contractuelles adoptées par une autorité et approuvées par la Commission européenne.
Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent prendre en compte la protection des données dès la conception du service ou du produit et par défaut et mettre en place des mesures permettant de garantir une protection optimale des données. Les sous-traitants ont notamment une obligation de conseil auprès des clients pour le compte desquels ils traitent des données. Ils doivent les aider dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits). Les sous-traitants devront tenir un registre des activités de traitement effectuées pour le compte de leurs clients. Dans certains cas, ils devront désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement. Présenté sous forme de questions-réponses, le guide propose également un exemple de clauses de sous-traitance à adapter et préciser selon la prestation de sous-traitance concernée. Ce guide est un outil vivant qui pourra être enrichi compte tenu des bonnes pratiques remontées auprès de la CNIL par les professionnels.