Le marché de l’externalisation des services informatiques en Inde connaît une croissance et un succès incontestés depuis une dizaine d’années. La qualité, la flexibilité et des coûts optimisés ont milité en faveur des prestataires de
ce pays. Auprès des sociétés américaines, d’abord, puis des européennes. Les retours d’expériences convainquent aujourd’hui les grands groupes français.Le traitement des données personnelles des salariés, des fournisseurs ou des clients en dehors de l’Union européenne soulève des interrogations dès lors que le prestataire ne fournit pas un niveau de sécurité équivalent à celui exigé
au sein de celle-ci. Au-delà de la protection stratégique de certaines données, leur sauvegarde devient un impératif, tant du point de vue éthique que réglementaire. L’enjeu, pour l’entreprise qui externalise, est d’autant plus réel qu’elle conserve
l’entière responsabilité des données à l’égard des individus et des autorités.Dans ce contexte, il faut reconnaître que l’Inde ne compte pas parmi les pays reconnus pour offrir un niveau adéquat de protection. Les autorités locales ont étudié des évolutions de la loi sur les technologies de l’information,
édictée en 2000, mais les amendements ne seront vraisemblablement pas ratifiés avant six à douze mois. Et l’éligibilité de prestataires à un statut similaire à celui du safe harbour américain (fondé sur des codes de bonne
conduite et l’autorégulation) n’est pas envisageable en l’absence de standards équivalents.Le traitement du transfert de données en Inde relève ainsi du registre contractuel. Dans la stricte ligne des clauses approuvées par la Commission européenne, il convient donc de s’assurer que le prestataire s’engage, en particulier,
à traiter les données pour le compte exclusif de l’entreprise mandante ?” et selon ses strictes instructions ?”, et à prendre des mesures techniques et organisationnelles appropriées.Il faut ajouter l’obligation d’information sur la divulgation des données, pour quelque motif que ce soit, afin de garantir l’entreprise expéditrice des données contre toute atteinte à celles-ci. Il est en outre recommandé de prévoir
précisément les possibilités de recours en urgence en cas de manquement, pour faciliter l’exécution de toute décision de justice sur le territoire indien.La vérification des moyens et des processus internes constitue, par ailleurs, un point fondamental de la gestion du risque. Un audit approfondi préalable au projet et la possibilité de procéder à d’autres audits en cours de contrat
doivent être envisagés. Les expériences semblent démontrer que les sociétés informatiques indiennes, loin d’attendre les initiatives réglementaires, disposent de certifications de type BS ou ISO. Et sont à même d’instaurer des procédures
répondant aux contraintes propres à chaque projet.Malgré l’éloignement géographique et l’absence de textes, il n’apparaît donc pas que le traitement externalisé de données personnelles soulève, en pratique, beaucoup plus de risques en Inde que sur notre territoire.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
