Le RGPD va modifier en profondeur la responsabilité des sous-traitants. Il semble donc utile de faire une présentation synthétique des dispositions et processus à mettre en place afin notamment que les sous-traitants soient en mesure d’apporter les éléments de réponse nécessaires à leurs clients. Nombreux sont les sous-traitants actuellement sollicités par leurs clients concernant le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus connu sous le nom de RGPD, d’application directe (sans besoin d’une transposition), dont l’entrée en vigueur le 25 mai 2018 doit être anticipée dès aujourd’hui.

Les Directions Générales des entreprises, qui constituent le niveau adéquat de traitement de ce sujet, commencent à prendre la mesure des enjeux : pour rappel, la violation du RGPD peut exposer les entreprises à des amendes administratives allant jusqu’à 20 millions d’euros (au lieu de 3 actuellement) ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, outre des sanctions pénales ainsi qu’un risque d’image conséquent.

Certains de ces clients ont parfois pris de l’avance en matière de mise en conformité afin de se démarquer de la concurrence en mettant en avant le caractère vertueux de leurs pratiques. D’autres espèrent, mais à tort, que le respect du RGPD par leur sous-traitant va les exonérer de leurs propres obligations en matière de données personnelles.

Le RGPD va modifier en profondeur la responsabilité des sous-traitants. Il semble donc utile de faire une présentation synthétique des dispositions et processus à mettre en place afin notamment que les sous-traitants soient en mesure d’apporter les éléments de réponse nécessaires à leurs clients.

Accessoirement, les sous-traitants ont eux-mêmes recours à la sous-traitance pour délivrer leurs prestations. Notons également que le sous-traitant est souvent, dans le même temps, un responsable de traitement concernant les données (clients, RH, etc.) qu’il traite pour son propre compte (aspect qui n’est pas spécifique à la sous-traitance, donc non abordé ici).

Qu’est-ce qu’un sous-traitant ?

Au sens du RGPD, le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement [1]. Il s’agit d’une personne juridique distincte du responsable de traitement (client). La loi impose au responsable de traitement un contrôle effectif sur le sous-traitant.

Qu’est-ce que change principalement le RGPD en matière de sous-traitance ?

Aujourd’hui, en matière de données personnelles, seul le responsable de traitement (le décideur des finalités et moyens du traitement) est responsable.
Le sous-traitant est toutefois :
 tenu de présenter une sécurité et une confidentialité suffisantes des données,
 susceptible d’être considéré comme responsable de traitement s’il est très autonome par rapport aux finalités et moyens du traitement de données mis en œuvre.

Avec le RGPD, cela change : le sous-traitant devient par principe responsable et astreint à de nombreuses obligations. Il convient donc être attentif à ces nouvelles obligations, détaillées dans les développements qui suivent.

A quelles exigences les sous-traitants doivent-ils répondre pour leurs clients ?

Les sous-traitants doivent offrir des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles [2].

Ils peuvent recruter eux-mêmes un autre sous-traitant seulement après autorisation écrite préalable, spécifique ou générale, du client responsable de traitement [3]. (S’il existait une autorisation écrite générale, ils doivent simplement informer le client responsable de traitement).

Il faut toujours un contrat client-sous-traitant, qui doit définir l’objet et la durée du traitement, sa nature et sa finalité (à quoi cela sert), le type de données personnelles (ex. adresses IP) et les catégories de personnes concernées (ex. clients), les obligations et droits du responsable de traitement.

Que doit prévoir le contrat de sous-traitance ?

Ce contrat doit prévoir que le sous-traitant :
 traite les données personnelles seulement sur instructions documentées (comptes rendus, mails, lettres…) du client responsable de traitement,
 veille à ce que les opérationnels traitant les données personnelles soient tenus à la confidentialité (les modalités dépendent de la sensibilité des données, à préciser en annexe au contrat),
 assure la sécurité du traitement (les modalités dépendent de la sensibilité des données, à préciser en annexe au contrat),
 respecte les conditions pour recourir à son tour à la sous-traitance (autorisation écrite préalable notamment),
 répercute à tout nouveau sous-traitant éventuel les obligations prises avec son client,
 aide le client par des mesures techniques et organisationnelles, à exécuter ses obligations à l’égard des personnes qui font l’objet de traitements,
 aide le client à garantir le respect des obligations concernant la sécurité des données personnelles, la réalisation d’analyse d’impact et la consultation préalable de la CNIL,
 selon le choix du client, supprime toutes les données personnelles ou les lui renvoie au terme de la prestation, et détruit les copies des traitements de données existantes (à préciser en annexe au contrat),
 met à la disposition du client toutes les informations documentant le respect de ces obligations permettant la réalisation d’audits et inspections, et contribue à ces audits [4].

Ainsi, le tronc commun de la prestation réalisée est très « normé », y compris dans sa dimension d’aide et d’assistance apportée au client. Il se présente toujours sous une forme écrite, y compris, le cas échéant, sous format électronique. Le contrat peut reposer, en tout ou en partie, sur des clauses contractuelles types.

Et si le sous-traitant a lui-même recours à la sous-traitance ?

Si le sous-traitant recrute un sous-traitant, les mêmes obligations que celles fixées dans le contrat entre le client et le sous-traitant sont imposées à cet autre sous-traitant par contrat. Si cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, c’est le sous-traitant initial qui sera responsable devant le client, d’où la nécessité de bien choisir ses propres sous-traitants.

Il est donc nécessaire de bien identifier et tracer la chaîne de sous-traitance : ex. data center, hébergeur, développeur/éditeur, intégrateur, responsable de traitement. Souvent un sous-traitant intervient pour un autre sous-traitant et ne connaît pas le responsable de traitement ! Il faut donc organiser la remontée d’informations des sous-traitants successifs vers le responsable de traitement. La méconnaissance des métiers de chacun des intervenants est de nature à faire courir un risque à tous.

Il faut aussi disposer d’informations sur la localisation des données (attention au cloud public ou communautaire) et prévoir une possibilité d’audit du respect des obligations. Il est possible d’avoir recours à la conduite d’analyse de risques selon la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité).

Pour toutes ces raisons, la bonne pratique est de contractualiser à chaque fois que possible avec l’ensemble des intervenants de la chaîne. Il est utile de prévoir un « pavé données personnelles » dans le contrat, pour éviter une dissémination des informations essentielles.

Quelle est la marge de manœuvre du sous-traitant par rapport au responsable du traitement ?

Le sous-traitant qui a accès à des données personnelles, ne doit traiter ces données que sur instruction du responsable de traitement. Il est préférable que le sous-traitant ne s’écarte pas des directives du responsable de traitement, sinon il risque d’engager sa responsabilité. Le sous-traitant informe immédiatement le responsable de traitement si une instruction constitue une violation de la règlementation sur les données personnelles.

Si le sous-traitant détermine lui-même les finalités et les moyens du traitement dont il assure la sous-traitance, il est considéré, de fait, comme un responsable du traitement. Il est toujours préférable de se faire confirmer les directives par le responsable de traitement plutôt que de courir un tel risque.

Le sous-traitant doit-il tenir un registre des traitements ?

Sauf exceptions [5], le registre ne s’applique pas à une organisation ou une entreprise comptant moins de 250 employés. Au-delà de ce seuil, chaque sous-traitant doit tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement [6] avec :
 le nom et les coordonnées du/des sous-traitant(s) et de chaque responsable de traitement associé à ce/ces sous-traitant(s) (mentionner les délégués à la protection des données lorsqu’ils existent) ;
 les catégories de traitements effectués pour le compte de chaque responsable de traitement ;
 les éventuels transferts de données personnelles vers un pays tiers (qui peuvent exposer à un risque de non-conformité) ;
 une description générale des mesures de sécurité techniques et organisationnelles (sécurité logique, physique…).

Les registres se présentent sous une forme écrite (y compris électronique).
Le sous-traitant et, le cas échéant, son représentant met le registre à la disposition de la CNIL, sur demande.

Le sous-traitant doit-il coopérer avec l’autorité de contrôle ?

Le responsable de traitement et le sous-traitant coopèrent avec la CNIL, à la demande de celle-ci [7].

Comment le traitement doit-il être sécurisé par le sous-traitant ?

Le sous-traitant met en œuvre, sous le contrôle du responsable de traitement, les mesures techniques et organisationnelles permettant de garantir un niveau de sécurité adapté au risque (ex. pseudonymisation, chiffrement, moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services, disponibilité et accès aux données personnelles, procédures de test) [8].

Le sous-traitant s’assure que toute personne physique agissant sous son autorité et celle du responsable de traitement ayant accès à des données personnelles, ne les traite pas, sauf sur instruction du responsable de traitement.

Il convient de prêter attention aux conditions de transfert de données par internet, aux terminaux mobiles et nomades. Il peut être recommandé d’utiliser une connexion de type https ou un réseau privé virtuel (VPN), par exemple. Le contrat avec le responsable de traitement devrait préciser quels sont les engagements (ex. sécurité de l’hébergement mais pas nécessairement de l’applicatif, engagements de qualité de service de type SLA, normes ISO sur la sécurité : 27001, 27018 pour le cloud).

Le sous-traitant doit-il notifier au responsable de traitement les failles de sécurité ?

Oui. Le sous-traitant notifie toute violation de données personnelles au responsable de traitement [9] dans les meilleurs délais après en avoir pris connaissance.
Cette notification doit :
 décrire la nature de la violation de données personnelles y compris, si possible, les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d’enregistrements de données personnelles concernés ;
 communiquer le nom et les coordonnées du délégué à la protection des données ;
 décrire les conséquences probables ;
 décrire les mesures prises ou que le responsable de traitement propose de prendre pour remédier / minimiser la violation.

Il est également souhaitable de mettre en place un processus de gestion des incidents via un outil de « ticketing », solliciter le délégué à la protection des données, organiser une communication adaptée, mettre en place si possible une « hotline ».

Tout sous-traitant doit-il désigner un délégué à la protection des données ?

Le sous-traitant désigne un délégué à la protection des données lorsque tout ou partie de conditions ci-dessous sont remplies [10] :
 le traitement est effectué par une autorité publique ou un organisme public ;
 les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique des personnes à grande échelle ;
 les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 § 1 (données sensibles) et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 (fichiers d’infractions). Le big data (mégadonnées) est donc impacté.

Le sous-traitant publie les coordonnées du délégué à la protection des données et les communique à la CNIL.

Notons que le correspondant informatique et libertés n’est pas automatiquement transformé en délégué à la protection des données. Le sous-traitant doit désigner un délégué à la protection des données et les institutions représentatives du personnel doivent être informées de cette désignation.

Quelles sont les obligations du sous-traitant à l’égard du délégué à la protection des données ?

 le sous-traitant veille à ce que le délégué à la protection des données soit associé à toutes les questions relatives à la protection des données personnelles [11] ;
 le sous-traitant aide le délégué à la protection des données à exercer les missions (ressources, accès aux données personnelles et aux opérations de traitement, possibilité d’entretenir ses connaissances) ;
 le sous-traitant veille à ce que le délégué à la protection des données, qui doit demeurer indépendant, ne reçoive aucune instruction dans l’exercice des missions ;
 le sous-traitant veille à ce que les missions et tâches annexes éventuelles du délégué à la protection des données n’entraînent pas de conflit d’intérêts (ex. délégué à la protection des données et responsable de traitement).

Enfin, il convient également de se rappeler que des exigences particulières sont prévues en matière de données de santé (agrément des hébergeurs) et de données bancaires (externalisation soumise au règlement 97-02 du CRBF 21 février 1997), notamment.

Jérôme Dupré, avocat en droit du numérique (Agreement Avocat), docteur en droit

Comentaires:

• 
  Note sur l’article, Lucie, 13 décembre 2018

  Article très clair que je recommande. Merci !

  
  
  • Droit de control RGPD, david EBEN, 14 octobre 2019

    Bonjour

    Notre question peut être utile pour tout le monde ..Dans le cadre du RGPD, est ce qu’un client peut exiger de faire un audit sur place et aux frais de son fournisseur. A vous lire...cordialement
    .