CNIL 27e RAPPORT D’ACTIVITÉ 2006
CENTRES D’APPELS DÉLOCALISÉS :
COMMENT ASSURER
LA PROTECTION DES DONNÉES ?
L’activité des centres d’appels est en plein développement
et se situe à deux niveaux. Ils peuvent servir de point
de contact avec les clients qui appellent afin d’obtenir
une aide technique dite hotline, une
commande de biens ou de services,
ou encore une simple information. Par
ailleurs, ils peuvent être utilisés par
l’entreprise dans le cadre de son activité
de prospection par exemple sur de
nouveaux produits et services. Dans les
deux cas, des traitements de données
personnelles sont mis en œuvre et doivent
donc respecter les règles de protection
des données.
La Commission a donc décidé la mise
en place d’un groupe de travail sur la
problématique de la délocalisation de ces
centres d’appels ainsi que de façon plus
générale de l’externalisation informatique.
En effet, avec la baisse du coût des
communications, la CNIL constate que les entreprises, les
sociétés de service… et même l’État recourent de plus en
plus à l’externalisation, hors Union européenne, de leurs
moyens informatiques, en particulier dans des pays qui,
le plus souvent, ne disposent pas de législation protectrice
des données personnelles. Se pose alors la question de
savoir comment de tels transferts de données vers ces
pays peuvent avoir lieu en assurant le respect des droits
des personnes concernées.
Si les dossiers examinés par la CNIL sont évidemment
très loin de refléter la réalité des échanges effectués, la
Commission souhaite en effet sensibiliser l’ensemble des
acteurs concernés au nécessaire respect de la loi. Elle
74
a ainsi eu l’occasion de rappeler les conditions dans
lesquelles doivent s’opérer de tels transferts pour être en
conformité avec la loi. En effet, les entreprises qui font
réaliser, hors Union européenne, des
traitements de données doivent garantir
un niveau de protection de ces données
suffisant, soit en faisant adopter dans les
contrats des clauses de protection des
données conformes aux clauses types
européennes soit en recourant à des règles
internes contraignantes (préalablement
soumises aux autorités de protection des
données). Au-delà se pose la question de
l’information des clients, des salariés…
dont les données sont ainsi traitées dans
des pays tiers et aussi des mesures prises
pour assurer en local la formation des
personnels et la sécurité des données.
De façon plus globale sur le plan
international, les actions que mène
actuellement la CNIL, en concertation
avec ses homologues, tendent à montrer l’intérêt pour les
pays tiers de se doter d’une loi spécifique de protection
des données. Le développement des NTIC couplé à la
convergence téléphone/Internet constitue un enjeu majeur
du développement économique des pays notamment
émergents et tant les gouvernements que les acteurs
économiques des pays concernés doivent être conscients
de la nécessité d’accompagner ce développement des
règles de protection des données qui en sont le corollaire
indispensable.
Le groupe de travail fera part de ses propositions à la fin
de l’année 2007.