Startups et traitement des données personnelles à l’étranger : les règles à respecter
Article données personnelles - Blog Wity

Startups et traitement des données personnelles à l’étranger : les règles à respecter

  • Twitter
  • Facebook
  • Linkedin

Votez pour cet article

Les données personnelles et les startups ne font pas toujours bon ménage.

Très souvent, les dispositions de la loi informatique et libertés sont, soit mal connues, soit mises de côté par les fondateurs. Ceux-ci estiment la plupart du temps qu’ils ne sont pas (encore) concernés par le transfert ou le traitement de données personnelles. Cette estimation est généralement fausse…

Pourtant, les règles impératives que contient cette loi peuvent mettre votre startup dans une fâcheuse posture.

En effet, si vous ne vous conformez pas dès le premier jour, vous amenuisez les chances de lever des fonds ou de revendre votre boîte. Pour cela, un audit juridique révélera rapidement votre négligence. Il faut donc éviter de « faire l’autruche » et prendre le problème à bras le corps.

1) Startups, intelligence artificielle et sous-traitance à l’étranger 

De nombreuses startups proposent aujourd’hui (ou ont pour ambition de proposer) des solutions innovantes pour leurs utilisateurs dans de nombreux domaines. Ces solutions digitales et numériques sont basées de plus en plus sur une intelligence artificielle. Celle-ci est capable, à elle seule, de permettre l’exploitation de l’activité et de la solution proposée par la startup qui la développe.

Si vous exercez dans le domaine de l’intelligence artificielle (« IA ») vous connaissez ce « little dirty secret » inconnu du grand public : qui dit IA dit gros investissement humain et financier. Car enfin, si vous avez développé un algorithme, celui-ci a besoin qu’un humain lui fournisse des données. Ces données doivent être qualifiées en nombre afin que ce dernier devienne « intelligent ».

Vient ensuite la phase de rodage ou d’entrainement de l’algorithme. Cette phase peut être plus ou moins longue. En effet, en annotant des données, à partir desquelles plus tard l’algorithme pourra être autonome, des humains éduquent l’algorithme. Parmi ces données, se cacheront des données à caractère personnel. C’est à dire des informations identifiant directement ou indirectement une personne physique (par exemple, un nom, un numéro de téléphone, une photographie, une date de naissance, une commune de résidence, …).

Suivant la complexité de la solution en développement, les moyens humains nécessaires à l’éducation de l’algorithme peuvent alors très vite grimper. Ils peuvent très vite avoisiner plusieurs dizaines de personnes. Ces personnes doivent bien entendu être salariées ou sous-traitées par la startup. Il est alors tentant et courant, à moins d’avoir été bénéficiaire d’une levée de fonds miraculeuse, de recourir à des salariés basés à l’étranger, notamment en dehors de l’Union européenne, pour faire baisser ces coûts.

C’est là où le bât blesse…

2) Attention au principe d’interdiction de transférer des données personnelles en dehors de l’Union européenne

La réglementation relative aux données à caractère personnel des personnes physiques est extrêmement stricte. Par principe, selon la loi informatique et libertés du 6 janvier 1978, les transferts de données à caractère personnel hors de l’Union européenne sont interdits. Les pays à l’extérieur de l’Europe n’ont pas la même législation protectrice vis-à-vis des données personnelles. Ils sont donc considérés comme insuffisamment sécures.

En cas de violation de ce principe, des sanctions pénales très lourdes peuvent être prononcées par les juridictions compétentes. Le Code pénal prévoit en effet qu’une personne physique peut être condamnée à 5 ans d’emprisonnement et à 300.000 euros d’amende. Concernant les personnes morales, elles peuvent être condamnées à verser 1,5 million d’euros d’amende. La Commission Nationale de l’Informatique et Libertés (la « CNIL ») peut de plus prononcer des sanctions pécuniaires importantes. Enfin, elle peut prononcer des avertissements qui peuvent être rendus publics. Cela peut très sérieusement mettre à mal votre image de marque alors que vous êtes en plein lancement…

Faire l’autruche n’est d’aucun secours car la CNIL dispose de prérogatives importantes pour trouver et contrôler les récalcitrants.

Nous vous recommandons vivement de vous conformer car, comme pour chaque interdiction, il existe des exceptions.

3) Comment transférer des données personnelles en dehors de l’Union européenne en toute légalité ?

Les pays hors UE considérés comme sûrs

Tout d’abord, la CNIL considère certains pays hors de l’Union européenne suffisamment sécures pour y exporter des données personnelles. C’est le cas notamment de l’Islande, du Liechtenstein et de la Norvège. Il faut dire que ces pays ont transposés les directives européennes alors qu’ils n’en avaient aucune obligation dès lors qu’ils ne sont pas membres de l’Union. Sont aussi autorisés les transferts vers une liste limitative de pays. En effet, leur législation a été jugée adéquate et leur protection suffisante. C’est le cas pour Andorre, l’Argentine, le Canada, les Iles Féroé, l’Ile de Man, de Guernesey, de Jersey, d’Israël, de l’Uruguay et de la Suisse.

Par exception encore, le transfert est aussi autorisé lorsque les données personnelles sont transférées vers les Etats-Unis. Cela est autorisé à condition que les entreprises destinataires des données se soient préalablement inscrites sur le registre tenu par l’administration américaine. Ces dernières doivent également respecter les obligations et les garanties de fond prévues par le « Privacy shield ».

Dans tous ces cas, la société devra procéder à une déclaration normale auprès de la CNIL. Elle devra préciser que des données personnelles sont envoyées dans ces pays hors Union. Après avoir obtenu la validation de la déclaration par la CNIL, vous pourrez alors procéder au transfert de données vers ces pays tiers considérés comme sûrs. Bien entendu, vous devez respecter les dispositions de la loi informatique et libertés.

Les pays à bas coût de main d’œuvre

Pour les autres pays où les coûts sont les moins élevés, ceux qui nous intéressent donc, il est aussi possible de transférer des données à la condition de conclure un contrat entre la startup et l’entité dite « importatrice ». Ce contrat devra contenir ce que la CNIL appelle des « clauses contractuelles types » qui ont été adoptées par la Commission européenne. Pour des sociétés de taille plus importante voire des groupes de sociétés, on privilégiera en revanche la mise en place de règles internes d’entreprise.

Ici encore, il faut procéder à une demande d’autorisation mais les délais sont plus longs. Il y aura bien remise d’un récépissé mais le traitement ne pourra réellement débuter qu’après une décision d’autorisation. Cette autorisation peut intervenir jusqu’à deux mois après la déclaration.

L’information des personnes concernées demeurent nécessaires

Enfin, dans tous les cas, les utilisateurs devront être informés que leurs données feront l’objet d’un transfert vers un pays tiers, de la finalité de ce transfert, du ou des pays destinataires, de la nature des données transférées, de la ou des catégories de destinataires, de niveau de protection offert par le pays destinataire ainsi que leurs droits d’accès et de rectification voire d’opposition en cas de motifs légitimes.

4) Notre accompagnement personnalisé

Ces règles contraignantes ont pour but de protéger vos futurs utilisateurs. Il est impératif de les respecter pour la réussite de votre projet. Nous vous invitons vivement à toujours avoir en tête cet aspect « données personnelles ».

De plus, vous n’êtes pas les premiers ni les derniers à vouloir transférer ce type de données vers l’étranger. Vos raisons sont légitimes. De plus, ce transfert ne préjudicie en rien votre image et vos relations clients. Chez wity, nos experts sont habitués à ce type de transferts. Nous pouvons vous accompagner dans la rédaction d’un contrat conforme contenant les clauses contractuelles types et dans vos démarches auprès de la CNIL.

Vous pourrez ainsi avoir l’assurance que vos innovations sont conformes à la réglementation et protègent vos utilisateurs.

Vous pourrez vous concentrer sur l’essentiel : faire décoller votre startup.

Rejoignez notre communauté d'entrepreneurs !
Recevez gratuitement par email toutes les informations pour créer et gérer votre entreprise.
Vos données sont importantes pour nous et ne sont pas transmises.