Les dispositions du Règlement Général sur la Protection des Données (le "RGPD") qui entreront en vigueur le 25 mai 2018 ont un impact direct sur les pratiques contractuelles en matière de services SaaS (Software as a Service) et plus généralement en matière de contrats Cloud.

Il existe plusieurs déclinaisons du Cloud [1]. On parle de Cloud public lorsque l’hébergement est mutualisé entre tous les clients du prestataire (partage de l’espace sur le serveur), et de Cloud privé lorsque l’espace de stockage est cloisonné et n’est dédié qu’à un seul client, ce qui est de nature à renforcer les conditions la sécurité des données y étant hébergées.

Dans le cas du SaaS, le logiciel n’est pas installé sur le serveur interne de l’entreprise mais sur les serveurs exploités par le fournisseur du service SaaS. A l’occasion des services qu’il rend à son client, le fournisseur du service SaaS est amené à héberger les données de son client, incluant les données personnelles collectées par ce dernier (ex. : données de ses salariés, des clients et prospects). Avec le SaaS hybride, le logiciel peut être hébergé dans le Cloud public tandis que les données du client peuvent être stockées sur un serveur distinct, « on premise » ou pas.

Quelle qualification du prestataire SaaS : responsable de traitement, sous-traitant ou responsable conjoint ?

La rédaction d’un contrat SaaS impose de déterminer la qualification des parties au sens de la réglementation en matière de données personnelles. A chaque qualification correspond un régime juridique propre, des obligations distinctes et une responsabilité spécifique en cas de manquement.

Sous l’égide de la loi Informatique et libertés [2], le client qui collecte en amont les données personnelles et qui détermine les finalités et moyens du traitement de données est qualifié de « responsable de traitement » ; tandis que le prestataire SAAS (hébergement, maintenance) est lui qualifié de « sous-traitant », dès lors qu’il traite les données pour le compte du responsable de traitement, agit sous son autorité et sur la base des instructions données par ce dernier.

Dans de nombreuses situations, compte tenu de la complexité croissante des différents services SaaS, cette qualification s’avère finalement très souvent discutable dès lors que c’est davantage l’éditeur ou le prestataire SaaS, plutôt que son client, qui détermine les moyens du traitement : sélection des outils logiciels, développement des fonctionnalités, sélection des sous sous-traitants et des infrastructures... et ce en vue de proposer une offre identique pour l’ensemble de ses clients.

Ces difficultés de qualification des parties sont d’autant plus signifiantes en matière de SaaS public, en cas d’offres standards communes à tous les clients et imposant des contrats d’adhésion sans aucune possibilité de négociation.

L’un des principaux apports du RGPD [3] est de prévoir une qualité intermédiaire, celle de responsabilité conjointe de traitement, qui doit s’appliquer « Lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement » [4].

Cette qualité pourra être attribué au prestataire, en lieu et place de la qualité de sous-traitant, dès lors qu’il sera démontré que les parties déterminent ensemble et sur la base de leurs contributions respectives les moyens et finalités du traitement.

En premier lieu en matière contractuelle, il faudra donc déterminer, en fonction de la nature et de la mise en œuvre pratique des services SaaS proposés, si les acteurs (client et prestataire) peuvent être qualifiés de co-responsables de traitement. Les avis publiés par le G29 à ce sujet pourront alors se révéler utiles pour établir cette qualification. Bien entendu, les autorités de contrôle ne sont pas liées par le contrat rédigé par les parties : une requalification a posteriori est toujours envisageable en vue d’une condamnation.

La responsabilité solidaire de tous les acteurs impliqués dans le traitement :

Le régime des obligations du responsable de traitement et du sous-traitant est complètement remanié avec le RGPD et beaucoup plus contraignant que sous l’empire de la loi Informatique et Libertés, s’agissant particulièrement du sous-traitant.

Ainsi, sous le régime de la loi Informatique et Libertés, les obligations de sécurité et la responsabilité y afférente pesaient principalement sur le responsable de traitement. Demain avec le RGPD, le sous-traitant pourra être tenu responsable en cas de manquement. Il s’agit donc d’une responsabilité légale et non plus seulement contractuelle. L’article 82 prévoit en effet que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du Règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du « sous-traitant » ».

Précisément, le sous-traitant n’est tenu pour responsable du dommage causé par le traitement que « s’il n’a pas respecté les obligations prévues par le présent Règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci ».

Il ne pourra être exonéré de sa responsabilité que s’il prouve que le fait qui a provoqué le dommage ne lui est pas imputable (il s’agit donc d’une présomption simple de responsabilité). Comme le rappelle la CNIL, « le RGPD consacre ainsi une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données ».

En cas de violation de la réglementation, le responsable de traitement et le sous-traitant pourront être solidairement condamnés à des amendes administratives (montant le plus élevé pouvant aller jusqu’à 20 millions ou 4% du chiffre d’affaire mondial annuel). Ce principe de co-responsabilité et les sanctions applicables marquent une véritable rupture avec l’esprit de la loi Informatique et Libertés du 6 janvier 1978. Pour rappel, sous le régime de la loi Informatique et Libertés, le montant des sanctions que pouvait prononcer la CNIL à l’encontre du seul responsable de traitement ne pouvait excéder 3 millions d’euros [5].

Le RGPD prévoit également que le sous-traitant est tenu d’informer immédiatement le responsable de traitement s’il considère qu’une instruction donnée par ce dernier constitue une violation du RGPD. Ainsi le sous-traitant ne doit plus se limiter à suivre aveuglement les instructions du responsable de traitement en pensant pouvoir se retrancher derrière ce dernier en cas de violation. Désormais, le sous-traitant doit avoir un rôle proactif de contrôle en matière de conformité réglementaire. A défaut, il pourrait être tenu pour co-responsable avec le responsable de traitement en cas de violation de la réglementation. Ainsi c’est toute la chaine de traitement de la donnée qui bénéficie d’une protection renforcée.

À tout moment, les entreprises devront démontrer la conformité de leurs traitements avec le RGPD : c’est le principe d’accountability. Il faut donc constituer une documentation rigoureuse, adaptée et régulièrement mise à jour qui doit pouvoir être communiquée sans délai aux autorités de contrôle. Ceci doit notamment conduire à la conclusion de contrats avec les prestataires SaaS respectant les nouvelles dispositions du RGPD (incluant les obligations liées à la résilience des systèmes) et la démonstration concrète par ces derniers de la mise en œuvre effective des mesures de sécurité y étant définies.

Les obligations du prestataire sous-traitant : transparence, traçabilité, sécurité et alerte :

Le RGPD impose désormais un formalisme spécifique et de nouvelles contraintes en matière de sécurité particulièrement à la charge du sous-traitant, qui jusqu’alors pouvait se contenter de « présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité », lesquelles étaient directement imposées par la loi Informatique et Libertés au responsable de traitement, qui devait ainsi « prendre toutes précautions utiles pour préserver la sécurité des données et notamment empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès ».

Plusieurs obligations qui ne visaient que le responsable du traitement sont désormais applicables aux sous-traitants. L’objectif est de garantir la sécurité optimale des données sous traitées sur toute la chaine de traitement, de la collecte jusqu’à la destruction définitive des données.

Selon le RGPD, les responsables de traitements souhaitant conclure des contrats SaaS, dès lors qu’ils impliquent un accès direct ou indirect aux données personnelles du client par un sous-traitant (voir un ou plusieurs sous sous-traitants), devront s’assurer de faire appel à des prestataires qui présentent « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement effectué réponde aux exigences du Règlement et garantisse la protection des droits de la personne concernée » [6].

L’ensemble des dispositions obligatoires devant figurer dans le contrat sont ensuite listées à l’article 28 du Règlement. Parmi elles, figurent notamment :
 L’obligation de prendre « toutes les mesures requises en vertu de l’article 32 du RGPD », c’est-à-dire garantir un niveau de sécurité adapté au risque (par exemple, en cas de données hébergées dans un environnement mutualisé), en fonction de la nature des données et de la finalité du traitement notamment. Ces mesures peuvent être les suivantes : pseudonymisation/chiffrement des données ; mise en place de serveurs dédiés et cloisonnés ; moyens permettant le rétablissement des données en cas d’incident ; tests réguliers sur l’efficacité des mesures de sécurité ;

 L’obligation d’aider le responsable de traitement à garantir le respect de ses propres obligations (sécurité ; notification en cas de faille ; analyse d’impact ; consultation préalable auprès de la CNIL pour certains traitements présentant des risques), et de lui tenir à disposition « toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits », et de « contribuer à ces audits » ;

 L’interdiction de sous sous-traiter sans l’autorisation expresse et écrite du responsable de traitement, et en cas d’accord, l’obligation de reporter l’ensemble des obligations lui étant imputables en matière de protection des données. Il demeure en tout état de cause responsable à l’égard du responsable de traitement de l’exécution des prestations de ses propres sous-traitants.

Bien entendu, les sous sous-traitants seront également impactés par la nouvelle réglementation européenne. Les contrats conclus entre ces derniers et le sous-traitant devront refléter les obligations imposées par le responsable de traitement à son sous-traitant (contrat dit « miroir » ou « back to back », imposé par l’article 28-4 du RGPD). En d’autres termes le responsable de traitement exigera de ses sous-traitants qu’ils imposent les mêmes obligations à l’ensemble de leurs propres cocontractants ayant accès aux données personnelles ainsi communiquées pour les besoins du service SaaS.

A ces obligations devant désormais être respectées par le sous-traitant, il faut en plus ajouter :
 L’obligation de tenir un registre des traitements (même obligation imposée au responsable de traitement) ; ce registre participe à l’obligation d’accountability et devra être tenu à la disposition de l’autorité de contrôle [7]
 La coopération du sous-traitant aux opérations de contrôle (par la CNIL notamment) [8]
 La désignation d’un Délégué à la Protection des Données, dans les mêmes conditions que le responsable de traitement est tenu de le faire [9]
 La notification du responsable de traitement en cas de faille de sécurité [10]
 Appliquer en amont les principes de Privacy by design et Privacy by default [11], qui impliquent de prendre en compte la protection des données à chaque étape du processus (et notamment que seules les données personnelles nécessaires, au regard de la finalité recherchée, soient traitées) ;

Des mécanismes de certification ou des codes de conduites permettront de démontrer le respect des exigences énoncées.

Dans le cadre de la gestion des risques, les entreprises pourront notamment se référer au nouveau guide de la sécurité des données personnelles publié par la CNIL en janvier 2018 [12] qui rappelle « les précautions élémentaires devant être mise en œuvre de façon systématique ».

Plan d’action :

Selon la CNIL, « tous les contrats de sous-traitance en cours d’exécution devront comprendre au 25 mai 2018 les clauses obligatoires prévues par le Règlement européen ».

En conséquence il est indispensable de procéder dès maintenant à une analyse complète de tous contrats en cours conclus avec ou par les prestataires de services SaaS puis de les amender, afin d’y prévoir les nouvelles obligations imposées par la réglementation. Des avenants devront être conclus en ce sens avant le 25 mai 2018.

Il est précisé que la CNIL demande expressément à vérifier l’existence et le contenu de ces contrats en cas de contrôle.

Donatienne BLIN Avocat à la Cour SEA AVOCATS

Comentaires:

• 
  Excellent article , Nadeau , 9 mars 2018

  Très clair
• 
  Clarification bienvenue !, Marion BARBEZIEUX, 12 mars 2018

  Enfin un article clair et complet sur le sujet, merci pour cette clarification !