Vers une responsabilisation du sous-traitant

L’entrée en vigueur le 25 mai prochain du Règlement européen sur la protection des données personnelles (« le Règlement ») qui renforce les droits des résidents européens sur leurs données, étend aussi la responsabilité des acteurs du traitement aux sous-traitants (I), dont les obligations sont renforcées (II.).

I. Quels sont les sous-traitants co-responsables des données ?

  1. Ceux qui ne sont pas parfaitement autonomes dans le traitement des données personnelles

L’article 28.10 du Règlement précise que lorsqu’un organisme détermine la finalité et les moyens d’un traitement, il ne peut pas être qualifié de sous-traitant, mais doit être considéré comme le ou l’un des responsables dudit traitement.

Dans son Guide du sous-traitant, la CNIL est plus extensive encore, car elle indique que toute personne/tout prestataire de services traitant des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement, est un sous-traitant et ce, quelle que soit l’étendue de la tâche confiée. C’est notamment le cas des prestataires de services informatiques (hébergeurs, chargés de la maintenance, paiements en ligne etc.) ou des agences de marketing ou de communication traitant des données personnelles pour le compte de leurs clients.

En tous les cas, tout sous-traitant a évidemment la qualité de responsable de traitement pour les opérations qu’il met en œuvre sur ses propres données, s’agissant par exemple de la gestion de son personnel ou de ses clients. Le cas échéant, il est impératif qu’il tienne deux registres strictement distincts des catégories d’activités de traitement effectuées.

Afin de faciliter l’identification des acteurs des traitements de données personnelles, le Groupe 29 des CNIL européennes est venu préciser le faisceau d’indices nécessaire à cette analyse dans son avis 1/2010[1]. Parmi ces indices figurent le niveau d’instruction donné, l’autonomie dont dispose le prestataire, le degré de contrôle de l’exécution de la prestation, la valeur ajoutée fournie par le prestataire ou encore, le degré de transparence sur le recours à un prestataire.

2. Qui sont établis dans l’UE ou offrent des produits ou services aux résidents européens

Conformément à l’article 3 du Règlement, ses dispositions s’appliquent au sous-traitant dès lors que ce dernier :

  • est établi dans l’Union européenne en tant que sous-traitant ou,
  • si tel n’est pas le cas, que ses activités de traitement sont liées
    • à l’offre de biens ou de services à des personnes concernées dans l’Union européenne,
    • ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union européenne.

II. Quels sont leurs nouvelles responsabilités ?

Jusqu’à présent, la loi Informatique et Libertés faisait peser des obligations sur le seul responsable de traitement. En effet, si le sous-traitant se devait de présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité des données, cette exigence ne déchargeait en rien le responsable du traitement de son obligation de veiller au respect desdites mesures. Or, le Règlement qui vise une « responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens », revient sur cette répartition des rôles en imposant désormais un certain nombre d’obligations aux sous-traitants (1.) et en sanctionnant sévèrement toute atteinte portée au droit respect du nom du photographe (2.).

  1. Un devoir d’assistance renforcé

Les sous-traitants sont désormais officiellement chargés d’assister les responsables de traitement dans leur démarche de mise en conformité des traitements entrepris, dès son entrée en vigueur.

Conformément aux dispositions de l’article 28 dudit Règlement, tout sous-traitant qui intervient dans la mise en œuvre d’un traitement de données personnelles se doit d’offrir au responsable de traitement, son client, « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée ».

Concrètement, cela signifie que le sous-traitant est désormais soumis aux obligations listées ci-dessous.

Obligations générales

  • obligation de garantir la sécurité et la confidentialité des données traitées : en soumettant par exemple ses employés à une obligation de confidentialité ou en procédant à la suppression des données et copies existantes (sauf obligation légale) au terme de sa prestation ou sur instruction du responsable de traitement ;
  • obligation de prendre en compte les principes de protection des données dès la conception de ses outils ou services de collecte et de traitement, de même que les principes de protection des données par défaut, en veillant par exemple à ne collecter que les données strictement nécessaires à la finalité du traitement;
  • obligation de transparence et de traçabilité : il s’agit ici de délimiter avec précision les obligations de chacun et de documenter l’ensemble des traitements effectués pour le compte du responsable de traitement (en tenant un registre) ;
  • obligation de conseiller le responsable de traitement : s’agissant notamment des mesures de sécurité à mettre en œuvre ;
  • obligation d’assistance du responsable de traitement : par exemple lors de la réalisation d’analyses d’impact ou d’audits en mettant l’ensemble des informations nécessaires à sa disposition ; cela vaut également lorsqu’un titulaire de données exerce ses droits d’accès, de rectification, d’effacement, de portabilité, et d’opposition ou manifeste son intention de ne pas faire l’objet d’une décision individuelle automatisée (profilage compris) ;
  • obligation d’alerter le responsable de traitement : notamment dans le cadre des notifications de violation de données que ce dernier doit ensuite communiquer à l’autorité de contrôle compétente et à la personne concernée ; ou si le sous-traitant estime qu’une instruction du responsable de traitement constitue une violation des règles en matière de protection des données.

Obligations spécifiques

Lorsque le sous-traitant est une autorité ou un organisme public, ou que ses activités de base l’amènent à réaliser pour le compte de ses clients un suivi régulier et systématique des personnes à grande échelle, ou si ses activités de base l’amènent pour le compte de ses clients, à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions :

  • obligation de tenir un registre des traitements : ce registre tenu par écrit doit comporter le nom et les coordonnées de chaque responsable de traitement pour lequel des données sont traitées ainsi que les catégories de traitements effectués pour le compte de chaque responsable de traitement ; le cas échéant, le nom et les coordonnées de tout éventuel sous-traitant ultérieur ainsi que le nom et les coordonnées du délégué à la protection des données, s’il en existe un ;
  • obligation de désigner un délégué à la protection des données (également « DPD ») ; désignation d’un DPD qui au delà des cas listés ci-dessus est vivement recommandée par la CNIL afin de faciliter la mise en œuvre et le contrôle de la conformité au Règlement.

En cas d’absence d’établissement dans l’Union européenne :

  • obligation de désigner un représentant dans l’Union européenne afin qu’il soit l’interlocuteur des personnes concernées et des autorités de contrôle pour toute question relative au(x) traitement(s) entrepris.

En cas de sous-traitance de sous-traitance :

  • obligation d’obtenir l’autorisation écrite du responsable de traitement en cas de recrutement d’un autre sous-traitant : à noter que si le second sous-traitant ne respecte pas ses obligations, le sous-traitant initial est pleinement responsable vis à vis du responsable du traitement de l’exécution par le second sous-traitant de ses obligations.

2. Des sanctions accrues

Le sous-traitant peut être condamné à réparer le préjudice subi par une personne privée (selon le Règlement : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation de ses dispositions, peut obtenir réparation du préjudice subi auprès de ce-dernier »).

Les sanctions administratives importantes dont le sous-traitant peut faire l’objet et qui varient en fonction de la catégorie de l’infraction visée, peuvent s’élever jusqu’à 10-20 millions d’euros ou 2-4% du chiffre d’affaires annuel mondial de l’exercice précédent s’il s’agit d’une entreprise, sachant que c’est le montant le plus élevé qui sera retenu.

*          *          *

*          *

Cette nouvelle répartition des rôles nécessite de réviser les contrats conclus antérieurement à l’entrée en vigueur du Règlement en veillant à y insérer, par voie d’avenant, des clauses définissant de manière précise les obligations et droits du responsable du traitement et du sous-traitant. Par ailleurs, il est également important, si cela n’est pas déjà fait, d’y spécifier l’objet et la durée de la prestation convenue, la nature et la finalité du traitement ainsi que le type de données à caractère personnel faisant l’objet des traitements et les catégories de personnes concernées. La CNIL propose dans son Guide des modèles de clause en ce sens en attendant l’adoption prochaine de clauses contractuelles type.

Pour plus d’informations, nous vous invitons à consulter Le Guide du Sous-Traitant de la CNIL (édition septembre 2017) ainsi qu’à vous reporter en particulier au considérant 81 et aux articles 3, 4, 27, 28, 30.2, 37, 82 et 83 du Règlement.

[1] Avis 1/2010 du groupe de travail « article 29″ sur les notions de « responsable du traitement » et de « sous-traitant » WP169 Adopté le 16 février 2010, http://www.cil.cnrs.fr/CIL/spip.php?article2685