La pratique d’offshoring consiste à délocaliser des activités, souvent de service, vers des pays plus attractifs proposant une main d’œuvre plus faiblement rémunérée. Explications sur les raisons du groupe de travail mis en place par la CNIL.
La loi du 6 août 2004 dispose que « le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet ».

En clair, délocaliser des services qui mettent en œuvre des traitements automatisés impliquant des données personnelles européennes peut être illégal si les pays vers lesquels les données sont transférées n’offrent pas un « niveau de protection suffisant ».
C’est pourquoi un groupe de travail a été crée par la Commission nationale d’informatique et des libertés (CNIL) pour réfléchir sur les problèmes que pose l’offshoring au regard de la protection des données personnelles.
Observons que la CNIL n’a pas de jugement de valeur à formuler concernant l’offshoring mais elle se doit, en revanche, d’informer les entreprises filiales ou sous-traitants des risques juridiques encourus (contrôles, voire sanctions, y compris pénales) si cette pratique s’applique sans respecter les règles de protection des données personnelles. L’action de la commission vise à définir le cadre juridique dans lequel doit s’opérer les transferts de données hors de l’Union Européenne.
Le processus de réflexion du groupe de travail dédié aux problématiques de l’externalisation des données, consiste à évaluer in situ l’état et l’ampleur de ce phénomène, puis à encadrer des pratiques qui existent déjà et qui sont mises en œuvre dans un « no man’s land juridique » quasi total.
Cette approche se veut pragmatique et réaliste puisque la commission se rend  « sur le terrain » pour dire à des acteurs de l’offshoring qu’ils opèrent, pour certains, dans l’illégalité par rapport au transfert de données personnelles.
En effet, l’article 69 de la loi du 6 janvier 1978, modifiée le 6 août 2004, dispose, conformément à la directive du 25 octobre 1995, que le responsable du traitement ne peut procéder au transfert de données d’un état membre de l’Union vers un état étranger que si celui-ci présente un niveau de protection suffisant ou équivalent.
De surcroît, et ceci est une contrainte trop souvent méconnue par les entreprises, un tel transfert doit être expressément et préalablement autorisé par la CNIL. Cette méconnaissance est d’autant plus dommageable qu’en application de l’article 226-16 du code pénal, ces faits sont passibles d’une peine de 5 d’emprisonnement et de 300 000 euros d’amende.
Le groupe de travail devrait proposer des solutions pour inciter les entreprises à un meilleur respect des règles de protection des données. De nombreuses entreprises françaises sont concernées.
Gageons que les solutions  qui seront proposées  inciteront les entreprises à un meilleur respect des règles de protection des données personnelles. Oui, espérons le….
Références :
http://www.cnil.fr/index.php?id=2392
http://www.lemondeinformatique.fr/actualites/commentaires-rififi-en-vue-entre-le-munci-et-la-cnil-autour-de-l-offshore-25272.html
http://www.journaldunet.com/solutions/breve/securite/22826/la-cnil-en-vigilance-orange-sur-l-offshore.shtml