Bureau de la protection des données personnelles (maurice)

Bureau de la protection des données personnelles (maurice)
Titre:- «la problématique juridictionnelle et les enjeux du transfert de données personnelles dans les opérations d’externalisation» Présentée par la Commissaire de la Protection des Données Personnelles de Maurice (Mme Drudeisha Madhub) Au séminaire de Dakar organisé par l’AFAPDP 19-21 septembre 2011 08/04/2017

Avant d’introduire le sujet, je voudrais faire ressortir que Maurice s’est dotée d’une législation en matière de protection de données personnelles et vise à être reconnue comme pays adéquat. C’est à souligner que Maurice a déjà fait une demande d’accréditation auprès de l’union européenne, mais vue la complexité de notre législation inspirée de la loi britannique, une assistance technique a été sollicitée pour une évaluation des amendements requis de cette loi datant de 2004. 08/04/2017

Maurice est également un des premiers pays africains qui a consacré les TIC comme le troisième pilier de son économie très récemment. L’externalisation ‘offshore’ des données provenant surtout de L’Europe vers Maurice est donc un des fondamentaux de ce domaine surtout dans les secteurs clés tels que ITO/BPO (externalisation des processus informatiques et d’affaires) et le KPO (externalisation des processus de connaissance). 08/04/2017

Bureau de la protection des données personnelles (Maurice)
Cette présentation vise plutôt à etablir les principes juridiques reconnus internationalement (en l’absence d’une convention ou traité international) qui doivent être applicables dans des opérations d’externalisation tels que les services financiers et de comptabilité, les services de paie, la gestion des ressources humaines, les centres d’appels, ou encore la sous-traitance de processus de connaissances, notamment dans les domaines juridiques, de la recherche médicale, des essais cliniques, entre autres. 08/04/2017

L’externalisation s’associe aussi à « l’informatique en nuages » ou le cloud computing et les réseaux sociaux. Or nous savons déjà quels sont les risques que peuvent encourir une organisation ayant recours à ces outils souvent projetés comme des merveilles de la technologie moderne mais cachant les dessous d’une technologie aux dangers multiples en terme de sécurité et protection des données personnelles. 08/04/2017

Le cloud computing apporte une problématique complémentaire au niveau juridictionnel en permettant aux entreprises d’externaliser ces services « dans les nuages », c'est-à-dire sans savoir précisément où seront réparties les ressources et capacités des prestataires impliqués. Les réseaux sociaux représentent aussi des énigmes en termes juridictionnels car la compagnie responsable de traitement (ou l’exportateur de données) ne se situe pas nécessairement dans le même pays que ses clients ou celui/ceux de son/ses sous-traitant/s (l’importateur/s de donnees). La pluralité des acteurs ajoute à la complexité de déterminer qui est responsable et de quoi? Le transfert de données personnellees doit être régi d’une manière efficace et selon les règles nationales applicables. 08/04/2017

D’abord, quelles sont les dispositions de la directive 1995 de L’UE qui peuvent servir comme source d’inspiration législative ou contractuelle pour nos pays non-membres de L’UE afin de contourner la problématique territoriale? Le préambule 18 considère qu'il est nécessaire, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l'un des États membres. 08/04/2017

Le préambule 19 considère que l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable; que la forme juridique retenue pour un tel établissement, qu'il s'agisse d'une simple succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard; que, lorsqu'un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d'une filiale, il doit s'assurer, notamment en vue d'éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d'eux. 08/04/2017

Le préambule 20 considère que l'établissement, dans un pays tiers, du responsable de traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l'État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés; Le préambule 21 considère que la présente directive ne préjuge pas des règles de territorialité applicables en matière de droit pénal; 08/04/2017

Article 4 Droit national applicable 1. Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque: a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable; b) le responsable du traitement n'est pas établi sur le territoire de l'État membre mais en un lieu où sa loi nationale s'applique en vertu du droit international public; c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté. 2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d'actions qui pourraient être introduites contre le responsable du traitement lui-même. 08/04/2017

L’emphase est clairement mise sur le droit national applicable où:- les moyens utilisés pour le traitement de données en cause du responsable du traitement sont localisés;ou le responsable du traitement est établi dans un pays où sa loi nationale s'applique en vertu du droit international public. 08/04/2017

Le traitement est une notion très large au sens de la loi, car il couvre « toute opération » portant sur des données personnelles, « quel que soit le procédé utilisé », et notamment la collecte, l'enregistrement, la conservation, la modification, l'utilisation et la communication des données personnelles, entre autres. 08/04/2017

L’article 2 prévoit que le «responsable du traitement» est la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire. Le «sous-traitant» est la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. 08/04/2017

Par conséquent, les deux conditions fondamentales pour agir en qualité de sous-traitant sont, d’une part, d’être une entité juridique distincte du responsable du traitement et, d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier. L'activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue. En outre, le rôle de sous-traitant ne découle pas de la nature de l'entité traitant des données mais de ses activités concrètes dans un cadre précis. En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations, . 08/04/2017

et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations. La directive contient deux dispositions qui visent précisément le sous-traitant et qui définissent de façon très détaillée ses obligations en matière de confidentialité et de sécurité: l’article 16 dispose que le sous-traitant lui-même, ainsi que toute personne agissant sous son autorité qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement; et 08/04/2017

l’article 17, qui porte sur la sécurité des traitements, requiert un contrat ou un acte juridique contraignant qui régit les relations entre le responsable du traitement et le sous-traitant. Ce contrat doit revêtir la forme écrite aux fins de preuve et contenir un minimum de clauses, stipulant notamment que le sous-traitant n’agit que sur la seule instruction du responsable du traitement et met en oeuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel. Le contrat doit comporter une description suffisamment détaillée du mandat du sous-traitant. 08/04/2017

À cet égard, les prestataires de services spécialisés dans certaines opérations de traitement de données (par exemple, le paiement des salaires) établissent souvent des contrats standards à signer par les responsables du traitement, fixant ainsi un certain mode de traitement standardisé des données à caractère personnel. Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne qui exerce apparemment un rôle prédominant à cet égard. 08/04/2017

Par exemple,l’affaire SWIFT démontre bien la première supposition: la société SWIFT était officiellement considérée comme le sous-traitant des données alors qu’en réalité, elle intervenait, aussi dans une certaine mesure, comme responsable du traitement des données. Donc, même si la désignation d’une entité en tant que responsable du traitement ou sous-traitant des données dans un contrat pouvait révéler des informations intéressantes sur le statut juridique de l'entité, cette désignation contractuelle n’est en soi pas définitive du véritable statut juridique du responsable et du sous-traitant, qui doit être déduit de circonstances concrètes. Donc, le degré de contrôle réel exercé par une partie et le degré d’influence sont des facteurs importants de détermination de responsabilité. 08/04/2017

Exemple : Une Société est désignée comme sous-traitant de données mais agit en réalité comme responsable de traitement:- La société x propose des services de publicité promotionnelle et de marketing direct à différentes sociétés. La société z conclut un contrat avec x, aux termes duquel cette dernière assure la publicité commerciale des clients de z, et est désignée comme sous-traitant de données. Cependant, z décide d’utiliser également la base de données des clients de x pour promouvoir les produits de y. Cette décision d’ajouter une finalité supplémentaire à celle pour laquelle les données à caractère personnel ont été transmises fait de z le responsable de cette opération de traitement envers y. 08/04/2017

Certains critères pour déterminer la qualification des divers sujets participant au traitement proposés par le groupe de travail dans son opinion de 2010: le nombre d’instructions préalables données par le responsable du traitement, qui détermine la marge de manoeuvre laissée au sous-traitant; la surveillance exercée par le responsable du traitement sur l’exécution du service. Un contrôle permanent et rigoureux afin de s'assurer que le sous-traitant se conforme totalement aux instructions et aux clauses contractuelles indique que le responsable du traitement maîtrise totalement et exclusivement les opérations de traitement; 08/04/2017

la visibilité/l’image donnée par le responsable du traitement à la personne concernée, et les attentes que cette visibilité suscite chez les personnes concernées; l'expertise des parties: dans certains cas, le rôle traditionnel et l’expertise professionnelle du prestataire de services jouent un rôle prépondérant, pouvant entraîner sa qualification de responsable du traitement. 08/04/2017

Exemple:-Un responsable du traitement des données confie à un centre d’appels certaines de ses activités et lui demande de se présenter sous son identité lorsqu’il appelle ses clients. Dans cet exemple, le centre agit en tant que sous-traitant des données pour le compte du responsable du traitement. La conclusion d'un contrat entre responsable et sous-traitant peut être direct ou tripartite caracterisée par l’intervention d’un intermédiaire ou l’entreprise peut mandater son sous-traitant de signer un contrat inspiré du Modèle 2010( clauses-types de L’UE pour gérer la relation responsable à sous-traitant qui se situe en dehors de l’UE) avec son propre sous-traitant, au nom et pour le compte de l'entreprise externalisatrice, ce qui est très fréquent dans les opérations d’externalisation. 08/04/2017

Une solution à la problématique juridictionnelle est donc la conclusion d’un accord entre les deux parties. Le contrat/acte jurique peut aussi mentionner le pays compétent en termes de juridiction, mais toutes les responsabilités qui découlent de la loi du pays du responsable de traitement restent applicables au contrat. Par exemple, le responsable qui se trouve à maurice s’engage contractuellement avec un sous-traitant au maroc. Les obligations du responsable en vertu de la loi mauricienne sont applicables au sous-traitant qui traite des données provenant de maurice par le biais du contrat ou de l’acte juridique. Le sous-traitant est lui aussi tenu des responsabilités qui lui incombent de par la loi marocaine. 08/04/2017

La relation responsable de traitement à sous-traitant est souvent caractérisée par l’intervention d’un intermédiaire dans le contexte de l’externalisation. L’intermédiaire agissant comme sous-traitant, ne pourra lui-même transférer les données à un sous-traitant qu’à condition (i) d’avoir obtenu en amont l’accord écrit de l’entreprise externalisatrice (qui conserve en effet la responsabilité première du responsable de traitement) et (ii) d'imposer à son propre sous-traitant les mêmes obligations que celles qu’il aura lui même contractées dans son contrat de transfert de données avec l’entreprise externalisatrice. 08/04/2017

Pour assurer une visibilité effective à l’entreprise externalisatrice, il conviendra d’imposer, sur toute la chaîne contractuelle, au moyen d'un contrat ad hoc, la reproduction à l’identique des engagements pris par l’intermédiaire envers l’entreprise externalisatrice. Par le biais d’un audit interne ou privacy-impact assessment, l’intermédiaire peut s’assurer que les mesures requises ont été implémentées par le/s sous-traitant/s. C’est pour cette raison que les responsables de traitements doivent s’assurer que les transferts de données sont effectués vers des pays dotés de législations en matière de protection de données personnelles et de surcroit sont reconnus comme des pays adéquats en termes de protection. 08/04/2017

les responsables de traitements doivent aussi établir une politique de sécurité interne qu’ils pourront par la suite imposer contractuellemnt au sous-traitant. Mais est-il pratique de supposer que le responsable est en mesure de s’assurer concrētement que sa loi va être appliqué dans son ensemble par un sous-traitant? Pourtant, en tant que responsable de traitement, l’entreprise se doit d’obtenir de son intermédiaire et/ou sous-traitant, des garanties que les données qui seront transférées dans le cadre d’une chaîne de sous-traitance maîtrisée par l’intermédiaire ou sous-traitant, seront protégées conformément à la Règlementation des Données Personnelles de son pays. 08/04/2017

Donc, qu’en est-il des traitements hors des frontières de L’UE ou des traitements qui ne concernent pas des pays européens? Je suis d’avis que les mêmes principes énoncées dans la directive peuvent être utilisés comme guide contractuel (qui sont d’ailleurs reproduites dans maintes législations nationales non-membres de l’UE ou reconnus comme pays adéquats) pour pallier aux manquements du droit national dans le cas où des règles contraignantes de protection de données personnelles font défaut. 08/04/2017

Ces mêmes principes peuvent être reproduites dans des binding corporate rules concernant les compagnies multinationales ou d’autres modèles contractuels applicables dans le contexte local qui peuvent aussi s’inspirer des principes evoqués dans les clauses modēles de L’UE pour justement régler ce problème de juridiction ou les règles applicables. Les BCRs correspondent à un code de conduite que se fixent toutes les sociétés d’un même groupe pour le traitement des données transférées au sein du groupe. 08/04/2017

Cependant, les BCR doivent toujours être soumises à l'examen d'une autorité de protection des données pour validation, afin d'être reconnues comme apportant un niveau de protection suffisant. C’est important afin d’éviter toute contraction au droit national applicable. Donc, il est proposé aux pays non-européens, dotés de législation en matière de protection de données personnelles de se pourvoir de ce mécanisme juridique où la législation locale prévoit la validation des BCRs au niveau local par les autorités de protection de données personnelles. 08/04/2017

Quels sont les avantages des BCR ? Les BCR assurent la conformité avec les principes énoncés par les articles 25 et 26 de la Directive 95/46 européen pour tous les flux de données, et servent à:- harmoniser les pratiques relatives à la protection des données personnelles au sein d'un groupe, prévenir les risques résultant de transferts de données vers d’autres pays, éviter la nécessité d'un contrat pour chaque transfert unique au sein du même groupe, 08/04/2017

Communiquer sur la politique de protection des données de l'entreprise, être un guide interne pour les employés pour l’application des principes de protection de données personnelles. Mais dans le cas oū les BCRs ne sont pas applicables, pour des compagnies qui ne sont pas multi-nationales, il faudra toujours avoir recours aux principes juridictionnels nationaux ou contractuels. 08/04/2017

La motivation primaire d’externaliser est la réduction des coûts financiers, fiscaux ou salariaux. Cette présentation vise aussi à démontrer qu’au-delà de l’intérêt particulier de chaque partie prenante dans ce processus, il faut aussi s’assurer qu’une opération d’externalisation offshore soit bien montée et sa sécurité juridique assurée pour que justement cela soit plus profitable et non le contraire. 08/04/2017

Article 17 Sécurité des traitements 1. Les États membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. 2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et qu'il doit veiller au respect de ces mesures. 3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que: - le sous-traitant n'agit que sur la seule instruction du responsable du traitement, - les obligations visées au paragraphe 1, telles que définies par la législation de l'État membre dans lequel le sous-traitant est établi, incombent également à celui-ci. 4. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente. 08/04/2017

Article 25 Principes 1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. 2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées. 3. Les États membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2. 4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause. 5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4. 6. La Commission peut constater, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes. Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. 08/04/2017

L’anonymisation des données:- Les données anonymisées peuvent être librement transférées. Encore faut-il que l’anonymisation soit effective et irréversible, ce qui écarte les solutions techniques non fiables, et les cas où l’anonymisation n’a pas de sens parce que le traitement suppose, par essence, de manipuler des données non-anonymisées. 08/04/2017

Il s’agit là d’une solution essentiellement technique, dont le coût de mise en oeuvre et les contraintes opérationnelles doivent être évaluées et validées avec soins. Dans certains cas en effet ces coûts sont susceptibles de gommer tout avantage financier recherché avec l’externalisation. Dans d’autres cas, les contraintes opérationnelles sont telles qu’elles disqualifient, pratiquement, le recours à ce procédé. 08/04/2017

Quelles sont les obligations du responsable et sous-traitant? Les personnes concernées dont les données personnelles sont traitées par l’entreprise (qu’ils soient salariés, clients, fournisseurs, partenaires, etc.) doivent avoir été clairement informées de la finalité des traitements les concernant, des destinataires des données collectées sur elles, des conséquences à l’égard de tout refus de fournir leurs données et de leurs droits d’accès et rectification aux données les concernant et détenues par l’entreprise. 08/04/2017

Les données collectées doivent être adéquates, pertinentes et non excessives eu égard à la finalité du traitement. Les données doivent être traitées avec des mesures de sécurité et de confidentialité adéquates. Les données traitées doivent être conservées pour une durée limitée, conformément à la règlementation applicable dans le pays en question. le traitement doit avoir fait l’objet d’une déclaration à l’autorité du pays concerné par l’entreprise responsable du traitement, selon les exigences de la loi sur la protection des données personnelles du pays. 08/04/2017

Le sous-traitant doit pouvoir démontrer des politiques, procédures et mesures de protection techniques égales ou supérieures à celles du responsable de traitement. Le responsable peut procéder à une analyse des vulnérabilités à distance pour déterminer quelle information interne de l'entreprise peuvent être accéder de l'extérieur. Le responsable peut exiger du fournisseur de sous-traitance de crypter toutes les données, et des contrôles de sécurités physique et technique peuvent être effectués. 08/04/2017

Le responsable peut fournir des informations partielles sur un client - et non le profil complet, quand cela n’est pas nécessaire. Lors de l'exécution d'un contrat écrit, les dispositions suivantes devraient être inclus: Une interdiction pour le prestataire de services de divulguer ou d'utiliser les données ou informations à d'autres fins que de mener à bien les services contractés. Le prestataire doit pouvoir fournir une copie de toutes les données des clients en sa possession ou de contrôle sur demande. 08/04/2017

Le prestataire ne doit jamais autoriser aucun accès extérieur aux données, sauf si le responsable de traitement en a été informé. Enfin, une entreprise doit élaborer un plan formel pour répondre au «pire scénario» tels que le détournement de données personnelles y compris les recours juridiques qui seraient requis dans le cas d'un incident de sécurité ou de rupture de contrat. Les clauses types de L’UE sont des modēles qui couvrent aussi ces aspects. 08/04/2017

Merci De Votre Attention 08/04/2017

Bureau de la protection des données personnelles (maurice)

Présentations similaires

Présentation au sujet: "Bureau de la protection des données personnelles (maurice)"— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back

Entrer

S'autoriser via un réseau social:

Bureau de la protection des données personnelles (maurice)

Présentations similaires

Présentation au sujet: "Bureau de la protection des données personnelles (maurice)"— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back