Village de la Justice www.village-justice.com

RGPD : la responsabilité du sous-traitant ne peut plus être évitée. Par Géraldine Salord, Avocat.
Parution : mardi 23 février 2021
Adresse de l'article original :
https://www.village-justice.com/articles/rgpd-responsabilite-sous-traitant-peut-plus-etre-evitee,38225.html
Reproduction interdite sans autorisation de l'auteur.

La formation restreinte de la CNIL a sanctionné, le 27 janvier 2021, un responsable de traitement et son sous-traitant pour un manquement à leurs obligations en matière de sécurité des traitements. Au-delà du cas d’espèce et des amendes importantes qui découlent de cette décision pour les deux acteurs concernés, la sanction de la CNIL consacre le principe d’une responsabilité du sous-traitant dans la mise en œuvre et le respect du RGPD.

La formation restreinte de la CNIL a sanctionné un responsable de traitement et son sous-traitant pour ne pas avoir pris de mesures de sécurité satisfaisantes pour faire face à des attaques par bourrage d’identifiants sur le site web du responsable de traitement [1]. Le bourrage d’identifiants ou credential stuffing désigne une attaque menée contre un site internet et visant à contourner les procédures d’authentification du site pour usurper les comptes des utilisateurs.

Cette technique consiste pour l’attaquant, à récupérer des listes d’identifiants et mots de passe publiés en clair sur le web puis, comptant sur le fait que les utilisateurs utilisent le plus souvent les mêmes mots de passe sur tous les sites sur lesquels ils ont des comptes en ligne, à adresser par l’intermédiaire de robots un grand nombre de requêtes sur les serveurs d’authentification d’un site internet jusqu’à ce qu’une connexion s’établisse. Le succès de telles attaques repose en grande partie sur le faible niveau de sécurité technique des sites visés.

La formation restreinte de la CNIL a en l’espèce considéré que le responsable de traitement et son sous-traitant qui, après avoir identifié des attaques répétées de credential stuffing sur le site internet du premier, avaient décidé d’un commun accord de lutter contre ces attaques en développant un outil permettant de les détecter et de les bloquer, lequel avait pris plus d’un an, avaient tardé à mettre en place des mesures satisfaisantes pour y mettre un terme. Elle sanctionne ici le manque de diligence des deux acteurs ayant eu pour conséquence d’exposer de manière prolongée les utilisateurs à un risque élevé de violation de leurs données.

Cette sanction est particulièrement intéressante dès lors qu’il s’agit de la première décision prise par la CNIL à l’encontre d’un responsable de traitement et de son sous-traitant sur le fondement du nouvel article 32 du Règlement européen UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

L’occasion pour nous de revenir sur la question du partage des responsabilités entre responsable de traitement et sous-traitant. En effet, l’un des apports majeurs du RGPD est sans conteste d’avoir modifié en profondeur ces règles de répartition.

Avant l’entrée en vigueur du RGPD : un système de responsabilité pesant uniquement sur le responsable de traitement.

Jusqu’à l’entrée en vigueur du RGPD, la répartition des rôles était clairement définie : la responsabilité de la protection des données personnelles incombait uniquement au responsable du traitement.

L’article 34 de la loi Informatique et Liberté disposait ainsi que si

« le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité (…) cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures ».

En effet, en application du principe selon lequel le sous-traitant ne peut traiter des données que sous le contrôle effectif du responsable de traitement, qui détient le pouvoir de décider des finalités et moyens des traitements, seul ce dernier était dès lors effectivement responsable des manquements à la sécurité de ses traitements, y compris des manquements commis par le sous-traitant de son seul fait.

La CNIL retenait ainsi de manière habituelle que le responsable du traitement avait pour obligation non seulement de déterminer les mesures de sécurité nécessaires à l’encadrement de ses traitements, mais également d’en contrôler la bonne mise en œuvre par ses sous-traitants. La sous-traitance ne pouvait en aucun cas constituer pour le responsable de traitement un motif valable d’exonération de de son obligation de garantir la sécurité des données qu’il traite.

Ainsi, le sous-traitant n’assumait aucune responsabilité ou presque sur la détermination ou la mise en œuvre des mesures de sécurité, son engagement se limitant à présenter des « garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité ». Sa responsabilité n’était ainsi jamais engagée devant une autorité de contrôle au titre de ses manquements éventuels.

Or dans les faits, l’obligation générale de sécurité et de surveillance qui pesait sur le responsable du traitement relevait plutôt de l’utopie juridique. La plupart des responsables de traitement n’ont en réalité que peu ou pas de moyens (ni de compétences) réels pour assurer de manière satisfaisante la sécurité de traitements de données dans un environnement technique de plus en plus complexe.

Paradoxalement, la sur-responsabilisation du responsable du traitement qu’entraînait la régulation antérieure, a eu pour effet, dans un contexte d’explosion d’un nouvel écosystème centré sur l’exploitation de la donnée et le développement des technologies de communication, d’affaiblir la protection des personnes physiques sur leurs données personnelles.

A cet égard, l’entrée en vigueur du RGPD a permis de révéler, lors des opérations de mise en conformité, l’ampleur de la méconnaissance par de nombreuses entreprises non seulement de leurs obligations en termes de protection des données personnelles, mais surtout de la portée de ces mêmes obligations.

Le système de responsabilité anciennement mis en place est donc apparu obsolète : il était devenu impératif de s’adapter à l’évolution des échanges sur le marché de la donnée.

Depuis l’entrée en vigueur du RGPD : le choix d’une règle de répartition des responsabilités plus pragmatique.

L’un des trois piliers fondamentaux du RGPD est la responsabilisation des acteurs économiques.

Ce principe repose d’une part sur la consécration de l’auto-régulation, à savoir l’obligation pour chaque entreprise d’être acteur de sa propre conformité, et d’autre part sur la co-responsabilité des acteurs intervenant sur un même traitement, à savoir le responsable de traitement et ses sous-traitants (à ne pas confondre avec les responsables conjoints de traitements). D’une certaine manière, le régulateur européen a construit son système de conformité comme une chaîne dont chaque maillon est responsable des autres maillons.

Ainsi, afin d’assurer une surveillance cohérente des traitements de données à caractère personnel, le RGPD prévoit notamment que le sous-traitant, qui détient le plus souvent la compétence et le savoir-faire technique, doit également endosser un rôle actif, et donc une certaine part de responsabilité, dans l’obligation de garantir la protection des données personnelles.

Le sous-traitant, qui n’était jusqu’à présent considéré que comme un simple exécutant, devient par principe responsable de ses actions réalisées sur un traitement pour le compte d’un responsable de traitement.

En effet, l’article 28 du RGPD prévoit notamment en ce sens que

« lorsqu’un traitement doit être effectué pour le compte d’un responsable de traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

L’article 32 du RGPD, relatif à la sécurité des traitements, prévoit en outre très clairement que

« (…) le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Il découle de l’application de ces deux articles que désormais, un sous-traitant ne peut plus se dédouaner sur le responsable du traitement de la question de la détermination des mesures adéquates pour garantir la protection des données personnelles. Même s’il appartient toujours au responsable de traitement de définir ces mesures de sécurité en fonction des finalités qu’il poursuit, le sous-traitant endosse notamment une obligation d’assister et de conseiller le responsable du traitement dans le respect de ses obligations en matière de sécurité.

Ainsi, sa responsabilité peut être engagée au titre de sa propre faute notamment dans les hypothèses suivantes :
- défaut d’exécution ou mauvaise exécution d’une instruction licite donnée par le responsable du traitement (obligation de suivre les instructions du responsable du traitement) ;
- exécution d’une instruction manifestement illicite ou inadéquate donnée par le responsable de traitement (obligation de conseil au regard de la protection des données).

Il s’agit d’une réforme profondément collaborative, qui vise d’une part à contraindre les acteurs économiques à faire de la protection des données personnelles un enjeu majeur de leur stratégie commerciale, et d’autre part, à construire ensemble une protection plus efficace. Il en découle de fait une obligation pour chaque acteur intervenant sur un même traitement, de collaborer pour garantir aux personnes concernées une meilleure protection de leurs données.

Le texte du RGPD repose sur un principe très pragmatique de répartition des tâches et des responsabilités en fonction non pas d’un rôle théorique défini par la loi, mais des compétences de chacun. C’est en ce sens que le législateur européen a entendu rendre obligatoire la signature d’un contrat de sous-traitance, visant à définir le rôle respectif et les obligations de chacun.

C’est justement cet esprit collaboratif de la régulation que vient consacrer pour la première fois la CNIL dans sa décision du 27 janvier 2021.

En effet, l’autorité de contrôle a estimé, de manière traditionnelle, qu’il appartenait au responsable du traitement de décider des mesures de sécurité à mettre en place pour assurer la protection adéquate de ses traitements. Le responsable du traitement ne pouvait se contenter de déléguer à son sous-traitant la mission de pallier les attaques par credential stuffing portées contre son site internet.

Notamment, il lui était reproché d’avoir fait le choix du développement d’un outil spécifique, qui a pris plus d’un an, alors que d’autres mesures plus rapides auraient pu être envisagées.

Mais, et c’est là l’apport de cette décision, la CNIL précise également que le sous-traitant aurait dû, au même titre que le responsable du traitement, rechercher les solutions techniques et opérationnelles les plus appropriées pour assurer la protection des données et les proposer au responsable du traitement, ce qu’il n’a pas fait, en violation de son obligation d’accompagnement et de conseil.

La faute de chacun étant caractérisée, la CNIL prononce alors une sanction déterminée au regard de la part de responsabilité de chacun dans le manquement relevé, qu’elle estime à hauteur de 150 000 euros pour le responsable de traitement et de 70 000 euros pour le sous-traitant.

Cette décision sonne comme un rappel pour les acteurs économiques, de la nécessité de mettre en place sur leurs activités de traitement une véritable gouvernance de la donnée, dont la mise en œuvre est encadrée contractuellement, et dans laquelle chacun, responsable du traitement et sous-traitant, joue un rôle actif et collaboratif, au lieu de favoriser, comme cela a pu être le cas par le passé, une stratégie de l’évitement.

Géraldine Salord Avocat associé fondateur du cabinet metalaw Docteur en droit privé
Comentaires: