BLOG AIDE
S'inscrire ou Se connecter

RGPD : vers une responsabilité renforcée des sous-traitants

Actualités juridiques
Captain Contrat
LE
4min

Face à l’enjeu d’importance croissante, l’Union Européenne a adopté en 1995 une première directive (directive 95/46/CE) relative à la protection des données personnelles, complétée ultérieurement par plusieurs autres directives, appliquées cependant différemment au sein des Etats membres de l'Union Européenne. L’évolution rapide des technologies est venue asseoir la nécessité d’assurer un niveau de protection cohérent et élevé des personnes physiques à l’égard du traitement de leurs données personnelles. Dans ce contexte, il a été choisi de recourir à un règlement européen plutôt qu’à une directive pour garantir une unicité des règles au sein de l’Union Européenne. C'est ainsi qu'a été adopté le 27 avril 2016, le Règlement UE 2016/679 « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » ( le « Règlement »). Parmi l’ensemble des aspects traités par le Règlement général des données personnelles, figure l’importante question de la sous-traitance.

Le RGPD expliqué en deux minutes

Qu’est-ce que la sous-traitance ?

L’article 4 du Règlement définit le sous-traitant comme « la personne physique ou moral, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement».

Cette définition suppose de rappeler deux autres définitions :

  • celle des données personnelles : « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»). Est considérée comme une «personne physique identifiable» toute personne physique pouvant «être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale» ; et
  • celle de responsable du traitement : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre»

De ces définitions, il en ressort que le sous-traitant, à la différence du responsable du traitement, ne détermine pas les finalités et les moyens de traitement. Cela renvoi en pratique aux hébergeurs, plateforme SaaS… sous réserve que ces prestataires ne déterminent pas les finalités ou les moyens de traitement

Pour s’assurer qu’une activité relève bien de la sous-traitance, la Commission Nationale de l’Informatique et des Libertés (Cnil)[1] suggère sur une analyse au cas par cas fondée sur le faisceau d’indices suivant :

  • le degré de contrôle de l’exécution de la prestation : quel est le degré de « surveillance » du client sur la prestation ?
  • la valeur ajoutée fournie par le prestataire : le prestataire dispose-t-il d’une expertise approfondie dans le domaine ?
  • le degré de transparence sur le recours à un prestataire : l’identité du prestataire est-elle connue des personnes concernées qui utilisent les services du client ?»

 

 
powered by Typeform

Les garanties que doivent présenter le sous-traitant

L’article 28 du Règlement oblige le responsable du traitement à ne recourir qu’à des sous-traitants présentant des « garanties suffisantes quant à la mise œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

Cet article suppose que le sous-traitant soit en mesure de justifier la mise en place de mesures techniques et organisationnelles conformes au Règlement. Si, en pratique, pour certains, la prise en compte des exigences du Règlement ne parait être qu'une simple mesure de communication, elle n’en reste pas moins une obligation contraignante et exigeante qui ne doit pas être négligée. Les responsables du traitement, en raison de l’obligation posée par le Règlement, seront particulièrement attentifs aux garanties fournies par les sous-traitants.

La conclusion d’un contrat de sous-traitance

Le Règlement prévoit un certain nombre de stipulations impératives devant figurer dans tout contrat de sous-traitance, entre autres :

  • le rappel du rôle du sous-traitant dans la mesure où il « ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement ». Il conviendra alors, dans le contrat de sous-traitance, de prévoir les modalités pratiques de réception de ces instructions de la part du responsable du traitement. Au-delà de la lettre du contrat, le sous-traitant devra être vigilant quant à la conservation des preuves des instructions du responsable du traitement ;
  • le respect de la confidentialité ;
  • le respect des mesures de sécurité posées par l’article 32 du Règlement ;
  • les modalités de traitement des demandes d’exercices des droits des personnes concernées par le traitement de leurs données personnelles (Chapitre III du Règlement), à savoir notamment le droit d’accès, de rectification ou de limitation du traitement. Le Règlement ne met à la charge du sous-traitant qu’une obligation « d’aide » du responsable du traitement mais il serait possible de prévoir que le sous-traitant réponde aux demandes des personnes concernées pour le nom et le compte du responsable du traitement ;
  • le sort des données personnelles, en fin de contrat, au choix du responsable du traitement ;
  • la mise à la disposition du responsable du traitement de toutes les informations nécessaires lui permettant de démontrer le respect du Règlement avec la possibilité de réaliser des éventuels audits ou inspections.

Le recours à des tiers sous-traitants

Le Règlement encadre strictement le recours par le sous-traitant à des sous-traitants tiers en posant le principe général selon lequel « le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement ».

Le Règlement prévoit néanmoins la possibilité d’une autorisation dite « générale » de recourir à des sous-traitants tiers, sous réserve d’en faire mention dans le contrat et d’informer le responsable du traitement de tout changement quant à l’ajout ou la suppression de sous-traitants. Il ne s’agit pas d’une simple information puisqu’il est prévu la possibilité pour le responsable du traitement d’émettre des objections à l’encontre de ces changements.

Ces tiers devront, par ailleurs, satisfaire aux mêmes obligations en matière de protection des données que celles fixées dans le contrat et pesant sur le sous-traitant.

Le recours à des sous-traitants tiers est donc strictement encadré par le Règlement, cela afin de s’assurer une complète transparence la chaine des sous-traitants.

La désignation d’un délégué à la protection des données – Data protection officer (DPO)

Avec le Règlement, le correspondant informatique et libertés (Cil) a vocation à muter en Data Protection Officer (DPO).

Le DPO a pour rôle de conseiller, en toute indépendance, le sous-traitant sur l’observation du Règlement, de contrôler la conformité des traitements au Règlement et de servir d’interlocuteur de la Cnil.

Le DPO devra donc être choisi avec soins et grande attention par le sous-traitant.

La désignation, par le sous-traitant, d’un DPO est obligatoire, selon l’article 37 du Règlement, lorsque :

  • le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle;
  • les activités de base du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
  • les activités de base du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données dites sensibles au sens de l’article 9 du Règlement ou relatives à des condamnations pénales et infractions.

La notion de « grande échelle » n’est pas précisée. Toutefois, pour apprécier cette notion, la Cnil nous donne l’exemple suivant :

« une petite entreprise familiale active dans le secteur de la distribution d’appareils électroménagers dans une seule ville recourt aux services d’un sous-traitant dont l’activité de base consiste à fournir des services d’analyse de sites internet et d’assistance à la publicité et au marketing ciblés. Les activités de l’entreprise familiale et ses clients n'entraînent pas de traitement de données à «grande échelle», compte tenu du faible nombre de clients et des activités relativement limitées. Toutefois, prises globalement, les activités du sous-traitant, qui dispose d’un grand nombre de clients comme cette petite entreprise, consistent en un traitement à grande échelle. Le sous-traitant doit donc désigner un délégué en vertu de l’article 37, paragraphe 1, point b) du règlement européen. L’entreprise familiale n’est quant à elle pas soumise à l’obligation de désigner un délégué. »

 

Cet exemple ne donne pas l’impression que la notion de « grande échelle » vise uniquement les sous-traitants particulièrement importants et conséquents. Il est néanmoins précisé que le sous-traitant dispose d’un « grand nombre de clients », précision qui ne simplifie pas l’appréhension de la notion.

Compte tenu de l'importance de la question, la Cnil précise: « au-delà de ces cas obligatoires, la désignation d’un délégué à la protection des données est recommandée car elle permet de disposer d’un expert chargé de la mise en œuvre concrète et du pilotage de la conformité au règlement européen ».

Le registre des activités de traitement et la notification en cas de violation des données personnelles

L’article 30 du Règlement prévoit la tenue d’un registre des activités de traitement par le sous-traitant comportant diverses informations comme le nom et les coordonnées de(s) sous-traitant(s) et responsable(s) du traitement, la description des catégories de traitement pour le compte de chaque responsable du traitement, le cas échéant les transferts de données à caractère personnel vers un pays tiers ou encore une description générale des mesures de sécurité techniques et organisationnelles prises en application du Règlement.

Ce registre doit être tenu à disposition de l’autorité de contrôle sur demande.

Des exceptions sont prévues à la tenue d’un tel registre, toutefois, il est intéressant de relever que la Cnil ne les rapporte pas dans son rapport. En pratique, il sera vivement recommandé d’en tenir un, quelque soit la situation.

L'article 33 du Règlement prévoit également une procédure de notification des violations de données à caractère personnel au responsable du traitement dans les meilleurs délais.

La responsabilité du sous-traitant

S’il pouvait avoir matière à discussion par le passé, le principe est désormais clair : le sous-traitant peut voir sa responsabilité directement mise en œuvre par une victime qui dispose du choix d’agir soit contre le responsable du traitement ou le sous-traitant.

Bien évidemment, le sous-traitant peut ensuite se retourner contre le responsable du traitement pour obtenir réparation du préjudice subi sous réserve qu’il a bel et bien respecté le contrat de sous-traitance. Le sous-traitant ne sera alors pas finalement responsable du dommage s’il a bien respecté le règlement et suivi les instructions du responsable du traitement.

Les dispositions du Règlement sont nombreuses, parfois pointues et les sanctions particulièrement lourdes, pouvant ainsi aller jusqu’à 10 millions d’euros ou 2 % du chiffre annuel mondial réalisé au cours de l’exercice précédent, le plus élevé des deux plafonds étant retenu.

Des quelques points du Règlement rapportés dans cet article, nous apercevons la complexité des opérations à mener afin de se mettre en conformité, d’autant plus, qu’en pratique tout sous-traitant est responsable du traitement pour les opérations qu’il met en œuvre sur ses propres données. Le sous-traitant devra alors se conformer pour sa part aux obligations des responsables du traitement.

[1] La Cnil sur l’avis 1/100 du groupe des Cnil européennes (G29) du 16 février 2010.

Encore des questions sur le RGPD ? Consultez un avocat spécialisé Je consulte  un avocat en ligne

Donnez votre avis
    ARTICLES SIMILAIRES

    Charte des données personnelles

    Le Privacy Shield et la protection des données personnelles

    Me Benjamin Bonan
    A propos de Me Benjamin Bonan

    J’interviens en droit des sociétés et droit des entreprises en difficultés tant dans le domaine du conseil que du contentieux en faisant preuve d’une grande réactivité. J’interviens également pour les TPE, dans le cadre de dossiers complexes en droit des affaires et droit fiscal.

    Voir tous les auteurs du blog Actualités Juridiques
    COMMENTAIRES