Alex Türk (Cnil) : “ Les entreprises doivent améliorer la protection des données offshore ”

Sandrine Chicaud

01net.

le 14/02/2008 à 17h05

laisser un avis

envoyer
par mail

imprimer
l'article

01net. : Dans une lettre adressée au Munci (Mouvement pour une union nationale et collégiale des informaticiens) , le 8 février dernier, vous insistez sur l'importance d'encadrer les pratiques offshore en matière de protection des données. Pourquoi ?

Alex Türk : De plus en plus de sociétés, en France et dans d'autres pays, ont recours à l'offshore. Du coup, sans prendre parti, nous estimons que la Cnil a un rôle à jouer pour rappeler aux entreprises filiales ou sous-traitantes qu'il existe un cadre juridique et les informer sur les risques encourus (contrôles, voire sanctions, y compris pénales). En réalité, selon une directive européenne du 25 octobre 1995 – qui reprend les grands principes de la loi française du 6 janvier 1978, modifiée le 6 août 2004 – le transfert de données d’un état membre de l’Union vers un état étranger ne peut se faire légalement que si cet état étranger présente un niveau de protection suffisant ou équivalent. Les critères de cette loi sont très précis : le pays doit se doter d'une Commission “ informatique et libertés ” indépendante, et d’une loi fondamentale pour encadrer ces pratiques.

La Cnil a créé un groupe de travail dédié à la protection des données personnelles dans le cadre d’une externalisation, présidé par Didier Gasse, commissaire en charge de ces questions et membre de la Cour des comptes. Quelle est sa mission ?

La Cnil voudrait d'abord, à travers ce groupe de travail, évaluer l'ampleur du phénomène de l'offshoring. Pour cela, nous nous sommes rendus dans certains pays africains comme le Sénégal, le Mali, le Burkina-Faso, le Gabon, le Bénin et le Maroc récemment, avec M. Gasse et deux collaborateurs juristes, pour rencontrer les premiers ministres. Notre rôle est aussi de les alerter sur le fait que ces pratiques d'offshoring se font dans des conditions juridiques extrêmement aléatoires et de nous assurer que les pays ont bien mis en place des mécanismes de protection des données personnelles adéquats, conformément à la directive de 1995.

En général, nous sommes écoutés. Même dans les pays dont la priorité est plus de se doter d'un accès à Internet que de se préoccuper de la protection des données. Lorsqu'on leur parle d'illégalité, ils comprennent. D'ores et déjà, certains pays, comme le Sénégal et le Gabon sont en train de s'organiser.

Au Burkina Faso, ils se sont déjà dotés d'un organisme comme la Cnil et d'une loi fondamentale. Dans ces cas là, la Cnil travaille en coopération avec le pays pour l'aider à concevoir un dispositif de protection.

C'est un travail de longue haleine ?

Oui. Au-delà des questions liées à l'offshoring, ces rencontres sont aussi l'occasion de sensibiliser les pays à l'importance de la mise en place de systèmes qui garantissent la protection des données personnelles et donc la vie privée de l'ensemble des concitoyens. En essayant de convaincre d'abord les pays francophones, de se doter d'une commission “ informatique et libertés ” indépendante notamment, nous pourrons ensuite nous tourner vers les autres pays. La Chine, l'Inde, le Japon, la Russie, l'Amérique latine et les Etats-Unis, par exemple, n'ont pas de tels organismes, ni de loi fondamentale, ce qui nous préoccupe beaucoup.

Est-ce que ce groupe de travail compte rencontrer des entreprises ?

Dans les jours qui viennent, il va commencer à auditionner les syndicats, des représentants de la profession comme le Munci, des chefs d'entreprise qui externalisent une partie de leurs activités, des autorités publiques françaises… Le groupe de travail devra ensuite faire un certain nombre de recommandations pour inciter les entreprises à un meilleur respect des règles de protection des données. Avant la fin du mois de juin, il devra rendre ses premières conclusions.