Télétravail ou voyage d'affaires dans un pays tiers - Transfert de données à caractère personnel ?

Les dispositions relatives au transfert de données à caractère personnel ne s'appliquent pas si un travailleur d'une entreprise établie dans l'UE effectue du télétravail ou un voyage d'affaires dans un pays situé en dehors de l’UE. Toutefois, l'employeur, en tant que responsable du traitement des données, reste tenu de respecter les principes généraux du règlement général sur la protection des données (RGPD). 

Récapitulatif

Le transfert de données à caractère personnel vers des pays situés en dehors de l'Espace économique européen (EEE), appelés « pays tiers », n'est autorisé que dans les cas prévus au chapitre V du RGPD. Cela concerne aussi bien un transfert « actif » qu'un transfert « passif » où les données sont accessibles depuis un pays tiers (par exemple, l'accès à une base de données européenne par une société mère américaine).

Plus concrètement, un tel transfert n'est autorisé que si l'un des mécanismes de transfert suivants est prévu :

  1. Une décision d'adéquation a été prise pour le pays tiers par la Commission européenne, confirmant qu'il offre un niveau adéquat de protection des données (équivalent à celui de l'UE) ;
  2. la mise en œuvre de garanties appropriées, telles que des clauses contractuelles types, des règles d'entreprise contraignantes ou des codes de conduite et de certification ; ou
  3. des dérogations occasionnelles spécifiques applicables à la situation.

Le responsable du traitement ou le sous-traitant qui transfère des données doit, conformément aux recommandations du Conseil européen de la Protection des données (mieux connu sous l'abréviation anglaise EDPB – European Data Protection Board), vérifier, en collaboration avec le destinataire dans le pays tiers, si ce dernier peut garantir un niveau de protection adéquat. Si tel n'est pas le cas, des garanties supplémentaires doivent être prises.  De plus amples informations sur l'utilisation de clauses contractuelles types et la mise en œuvre de garanties supplémentaires sont disponibles ici.

Contexte

Si un travailleur d'une entreprise basée dans l'UE voyage dans un pays tiers ou y effectue du télétravail  et que, depuis ce pays, il accède à des données à caractère personnel concernant, par exemple, des collègues, des candidats à un emploi, des contacts (clients) ou d'autres personnes par l'intermédiaire du réseau de l'employeur, la question se pose de savoir si cet accès doit être considéré comme un « transfert » de données à caractère personnel dans le cadre du RGPD, avec les obligations et les limitations qui en découlent.

Le destinataire des données à caractère personnel dans ce cas est un travailleur. Un travailleur n'a pas la qualité de responsable du traitement ou de sous-traitant mais, au contraire, est une personne qui est sous l'autorité directe de l'employeur et qui, dans les limites des instructions, autorisations et restrictions imposées par l'employeur, peut traiter des données à caractère personnel (pour lesquelles l'employeur est le responsable du traitement ou le sous-traitant). Par conséquent, étant donné qu'en l'espèce, il n’est pas question de transfert à un sous-traitant ou à un responsable du traitement des données ayant sa propre responsabilité en vertu du RGPD, les obligations relatives aux transferts de données à caractère personnel vers des pays tiers ne trouvent pas à s'appliquer ici.

L'Autorité de protection des données (APD) a confirmé notre position ci-dessus. Lorsqu'un travailleur d'une entreprise basée dans l'UE se rend dans un pays tiers ou y fait du télétravail, qu'il y effectue son travail et qu'il accède ainsi aux données à caractère personnel de l'entreprise, il s'agit d'un traitement qui ne relève pas du chapitre V du RGPD sur les transferts de données à caractère personnel vers des pays tiers. En effet, dans une telle situation, le travailleur n'est ni un responsable du traitement ni un sous-traitant. Au contraire, le traitement effectué par le travailleur a lieu dans le cadre des activités de l'entreprise, et sous l'autorité de l'entreprise.

L'employeur ne sera donc pas obligé de mettre en œuvre l'un des mécanismes de transfert susmentionnés, même si un niveau de protection adéquat ne peut être garanti pour ce pays tiers.

Toutefois, l'employeur, en tant que responsable du traitement des données (et éventuellement aussi en tant que sous-traitant), devra évidemment se conformer aux principes généraux du RGPD.

Ainsi, l'employeur doit prendre des mesures techniques ou organisationnelles afin de protéger la sécurité du traitement des données à caractère personnel. Par analogie avec les recommandations de l'EDPB, on peut considérer le cryptage ou la pseudonymisation comme des mesures techniques. En tant que mesure organisationnelle, il convient d’inclure dans une politique interne de protection de la vie privée une procédure spécifique à suivre en cas de télétravail ou de voyage d'affaires dans un pays tiers. En effet, il est important de sensibiliser les travailleurs aux dangers encourus et de leur donner des instructions claires (par exemple, ne pas accéder au réseau de l'entreprise et aux informations de certaines bases de données via des réseaux publics non sécurisés).

Point d'action

Il est important que vous surveilliez à tout moment les lieux où vos travailleurs télétravaillent ou ont accès à des informations sensibles de l'entreprise, surtout si ces informations comprennent des données à caractère personnel. Assurez-vous que votre politique de télétravail accorde l'attention nécessaire au travail depuis des pays tiers.

En outre, assurez-vous de prendre des mesures techniques et organisationnelles suffisantes pour garantir la sécurité du traitement des données à caractère personnel par des travailleurs travaillant depuis des pays tiers.

Les équipes Global Mobility et Data Protection de Claeys & Engels sont prêtes à répondre à toute autre question.