La CNIL décrit les BCR comme un code de conduite, définissant la politique d’une entreprise en matière de transferts de données personnelles. Elles permettent d’offrir une protection adéquate aux données transférées depuis l’Union européenne vers des pays tiers à l’Union européenne au sein d’une même entreprise ou d’un même groupe.
Cette description contient une limite importante sur l’application des BCR à savoir « au sein d’une même entreprise ou d’un même groupe ». La définition d’entreprise ne posant pas de problème particulier, il convient de comprendre ce que signifie la notion de groupe. Le WP 74 définit un groupe comme un ensemble d’entreprises internationales sous la responsabilité d’une maison mère.
L’application de ce concept de groupe trouve différentes applications suivant le pays auquel on l’applique. Par exemple en France, l’INSEE définit un groupe d’entreprise comme « un ensemble de sociétés contrôlées majoritairement, directement ou indirectement, par une même société, elle-même non contrôlée majoritairement par une autre société (directement ou indirectement), cette dernière société étant appelée société-mère ou tête de groupe ».
Rapprochant ces deux définitions, on constate que l’appartenance à un groupe dépend d’une relation de domination. Plusieurs entreprises se trouvent placées sous la dépendance économique et gouvernementale d’une ou plusieurs entreprises qui assurent la cohésion afin d’assurer l’application commune des décisions économiques. Ainsi toutes les entreprises naviguent dans le même sens.
On remarquera que la définition du WP 74 ne résonne pas sur un lien capitalistique, ce qui est juridiquement correct puisque la dépendance économique peut résulter de la prise de participation dans le capital, ou de la technique contractuelle par laquelle une entreprise développe à travers un ou plusieurs contrats une domination économique sur des entreprises avec qui elle n’a aucun lien capitalistique. La conséquence étant que la fin de l’entreprise économiquement dominante entraînera certainement la fin de l’entreprise dominée puisque son activité économique est entièrement dépendante de son donneur d’ordre.
En conséquence, les BCR ne peuvent pas s’appliquer en dehors du groupe d’entreprise. Ce qui signifie que si l’activité économique d’un groupe couvre le traitement de données personnelles et pour ce faire s’appuie en partie sur la technologie du « cloud », utilisant ainsi les services d’une société tierce, toutes les données qui voyagent vers cette société tierce ne sont pas couvertes par les BCR.
Mais alors pourquoi les entreprises offrant du service « cloud » déclarent qu’elles ont mis en place des BCR ?
Afin de répondre à cette question il faut comprendre la technologie du « cloud ».
Le « cloud » est un moyen de louer des ressources informatiques à des tiers en utilisant l’Internet.
Le succès du « cloud » repose sur l’externalisation des services informatiques qui quittent ainsi l’entreprise cliente pour se retrouver chez le fournisseur « cloud ».
Le fournisseur « cloud » a pour objectif de maintenir sa propre infrastructure informatique composée de logiciels et serveurs afin d’assurer la continuité de son service à ses clients. Il n’est donc pas concerné par le type de données qui peut être traité par ses clients à l’intérieur de son système informatique. Il est indifférent à l’information traitée, il ne connaît pas (et ne veut pas connaître) la caractéristique de ces informations.
Dans la technologie du « cloud » il faut donc faire la distinction entre les éléments du système informatique qui sont sous la responsabilité du fournisseur de « cloud », y compris la sécurité, et les couches applicatives développées par le client du fournisseur de « cloud » qui viennent se juxtaposer au-dessus du système informatique fourni par le fournisseur de « cloud ».
C’est à l’intérieur de ces couches applicatives que les informations sont transmises et traitées conformément aux caractéristiques techniques et informatiques définies par le client. C’est donc bien le client et non pas le fournisseur de « cloud » qui détermine le type d’information à traiter, la sécurité des informations, l’utilisation de logiciel anti-virus, de technologie d’encryptions, les droits d’accès aux informations, etc.
Si l’on applique les termes de la directive 95/46/CE qui est le texte de référence, au niveau européen, en matière de protection des données à caractère personnel, le client est responsable du traitement, ou le sous-traitant s’il traite les données personnelles pour le compte d’un de ses clients. Le fournisseur de « cloud » se limite à mettre à disposition son infrastructure informatique.
Considérant que le client et le fournisseur de « cloud » n’appartiennent pas au même groupe, le client ne peut donc pas utiliser le fait que son fournisseur de « cloud » a mis en place des BCR pour justifier auprès de ses propres clients que le transfert des données bénéficie d’une protection adéquate, espérant ainsi s’abstenir de signer les clauses contractuelles types de la Commission européenne.
Revenons à la question : pourquoi les entreprises offrant du service « cloud » déclarent qu’elles ont mis en place des BCR ?
Le grand intérêt réside premièrement dans la sélection du fournisseur de « cloud ». En effet, un fournisseur de « cloud » qui a mis en place des BCR démontre qu’au niveau de son groupe la protection des données personnelles est prise en compte et soutenue par une politique commune indépendamment de la juridiction dont dépend chacun des membres du groupe. Et deuxièmement, dans le cadre du message commercial du client du fournisseur de « cloud » auprès de ses propres clients, afin d’attester que l’externalisation de ses services tient compte de la protection des données personnelles.
Le marché du « cloud » étant en pleine expansion. Les dernières estimations de International Data Corporation (IDC), Gartner, Microsoft et d’autres consultants estiment que les dépenses mondiales dans le service du « cloud » vont accroître de 70 milliard US$ à plus de 141 milliard US$ en 2019. Les groupes d’entreprises vont de plus en plus se tourner vers la location des services informatiques au niveau international. Les données seront ainsi transférées vers des pays tiers où sont localisés les fournisseurs de « cloud ». Ce transfert exige au niveau européen la mise en place de dispositions contractuelles permettant une protection adéquate des données transférées. Les BCR du fournisseur de « cloud » externe au groupe ne permet pas d’assurer cette protection. Le fournisseur de « cloud » se verra donc obligé de signer les clauses contractuelles types de la Commission européenne et ainsi d’ajouter une couche administrative supplémentaire à son activité.
Je suis d’avis qu’il faudrait reconnaître qu’en réalité le fournisseur de « cloud » est indifférent à l’information traitée, il ne connaît pas (et ne veut pas connaître) la caractéristique de ces informations. Ainsi l’absoudre des dispositions des lois sur la protection des données à caractère personnel à l’exception bien sûr des obligations de sécurité qui doivent être contractuellement spécifiées. Obligations qui sont aujourd’hui déjà bien intégrées chez les fournisseurs de « cloud ».
