QUELQUES CONSEILS D'AIDE À LA MISE EN CONFORMITÉ AU RGPD À L'ATTENTION DES SOUS-TRAITANTS

 
DIAPOSITIVES SUIVANTES
QUELQUES CONSEILS D'AIDE À LA MISE EN CONFORMITÉ AU RGPD À L'ATTENTION DES SOUS-TRAITANTS
Législation                      VIE
                                                                                                                                            JURIDIQUE

QUELQUES CONSEILS D’AIDE
À LA MISE EN CONFORMITÉ AU RGPD
À L’ATTENTION DES SOUS-TRAITANTS
L’année 2018 sera marquée par l’entrée en application du Règlement (UE) 2016/679 du 27 avril
2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données (ci-après « RGPD »), qui modifie largement la philoso-
phie actuelle de la protection de ces données en supprimant généralement l’obligation de formalités
préalables, tout en responsabilisant les opérateurs.
Parmi les nouveautés figure le renforcement des obligations           niques de traiter des données à caractère personnel, mais
des sous-traitants, qu’ils soient établis dans l’UE ou hors UE,       également le « comment » du traitement, qui comprend des
dont la responsabilité est susceptible d’être engagée directe-        questions comme « quelles données seront traitées »7. Dès
ment en cas de manquement, alors que les sanctions ont été            lors, sera considérée comme responsable de traitement, la
alourdies1.                                                           personne qui déterminera le « pourquoi » et le « comment »
Dans ce contexte, notre Gouvernement avait annoncé l’adap-            du traitement de données personnelles.
tation de notre règlementation nationale, et en particulier de        En pratique, être responsable du traitement résultera essen-
notre Loi Informatique et Libertés du 6 janvier 1978 (ci-après        tiellement du fait de choisir de traiter les données à carac-
« Loi Informatique et Libertés »), au regard des nouvelles exi-       tère personnel pour des finalités propres. Cette capacité « se
gences du RGPD2. Un projet de loi a été déposé il y a quelques        déduira généralement d’une analyse des éléments factuels
semaines3. Or, d’après la CNIL, « le Gouvernement a fait le           ou des circonstances de l’espèce: il conviendra d’examiner
choix de n’opérer que les modifications strictement indispen-         les opérations de traitement en question et de comprendre
sables, sur le fond, à la mise en œuvre du [RGPD], et de ren-         qui les détermine, en répondant dans un premier temps aux
voyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une      questions «pourquoi ce traitement a-t-il lieu ?» et «qui l’a en-
ordonnance ultérieure, conformément à l’habilitation prévue           trepris ?» » 8. A cet égard, il convient de noter que la qualifica-
à l’article 23 du projet de loi. Or, dans l’attente de cette ordon-   tion prévue par un contrat ne vaut pas qualification définitive
nance, ce choix induit une double difficulté de lecture »4. En        si, dans les faits, la personne désignée par le contrat comme
attendant et en tout état de cause, les dispositions du RGPD          le « responsable de traitement » n’est pas celle qui détermine
seront, à compter du 25 mai prochain, applicables sans qu’au-         effectivement comment les données à caractère personnel
cune mesure de transposition ne soit nécessaire.                      sont traitées9.
A cette occasion et alors que le RGPD entrera en application
dans moins de six mois, il nous est apparu opportun de rap-           Ces définitions étant rappelées, il doit être souligné que
peler brièvement les obligations des sous-traitants en leur           chaque sous-traitant doit également s’assurer que le RGPD
fournissant quelques conseils d’aide à la mise en conformité.         est effectivement applicable aux traitements de données per-
                                                                      sonnelles sur lesquels il intervient.
• Rappel sur la définition de « sous-                                 Aujourd’hui, sont soumis à la Loi Informatique et Libertés, les
traitant » et leur soumission au                                      traitements de données personnelles (i) dont le responsable
RGPD                                                                  est établi sur le territoire français ou (ii) sans être établi sur
Le « sous-traitant » est la personne physique ou morale, l'au-        le territoire français ou sur celui d'un autre Etat membre de
torité publique, le service ou un autre organisme qui traite          la Communauté européenne, si le responsable de traitement
des données à caractère personnel pour le compte du res-              recourt à des moyens de traitement situés sur le territoire
ponsable du traitement5. Cette notion n’a pas été modifiée            français10.
par le RGPD et sera ainsi considérée comme sous-traitant, la          Demain, le RGPD s’appliquera (i) au traitement des données
personne qui n’agira que sur instruction du responsable du            personnelles effectué dans le cadre des activités d'un établis-
traitement.                                                           sement d'un responsable du traitement ou d'un sous-traitant
Le « responsable de traitement », quant à lui, est la personne,       sur le territoire de l'Union, que le traitement ait lieu ou non
l’autorité publique, le service ou l’organisme qui détermine          dans l'Union, et (ii) au traitement des données personnelles
les finalités et les moyens du traitement de données person-          relatives à des personnes concernées qui se trouvent sur le
nelles mis en œuvre6. La « finalité » d’un traitement s’entend        territoire de l'Union par un responsable du traitement ou un
du résultat attendu et recherché ou guidé par les actions pré-        sous-traitant qui n'est pas établi dans l'Union, lorsque les acti-
vues au titre du traitement mis en œuvre. Les « moyens » d’un         vités de traitement sont liées à l'offre de biens ou de services
traitement s’entendent des mesures mises en œuvre pour                à ces personnes concernées dans l'Union ou au suivi du com-
parvenir à ce résultat ; étant précisé que les « moyens » d’un        portement de ces personnes, dans la mesure où il s'agit d'un
traitement ne désignent pas seulement les moyens tech-                comportement qui a lieu au sein de l'Union11.

                                                                vie juridique samedi 3 février 2018 | vendredi 9 février 2018                    39
QUELQUES CONSEILS D'AIDE À LA MISE EN CONFORMITÉ AU RGPD À L'ATTENTION DES SOUS-TRAITANTS
VIE Législation
 JURIDIQUE

             A cet égard, le projet de loi a également précisé12, pour les
             dispositions relatives aux marges de manœuvres permises
             aux Etats membres par le RGPD, que la loi nationale s’appli-
             quera dès lors que la personne concernée par le traitement
             en cause réside en France, y compris lorsque le responsable
             de traitement n’est pas établi en France. En revanche, dans le
             cadre du respect du droit à la liberté d’expression et d’infor-
             mation, le droit applicable sera celui de l’Etat dans lequel sera
             établi le responsable de traitement.
             Dès lors, les prestataires de services informatiques, les inté-
             grateurs de logiciels, les sociétés de sécurité informatique,
             les entreprises de services du numérique (SSII), les agences
             marketing ou de communication qui traitent des données
             personnelles pour le compte de leur client… seront soumis, à
             compter du 25 mai 2018, au RGPD et aux obligations décrites
             ci-après, peu important que leur siège se situe hors de l’Union
             Européenne.
             Demain, de grands acteurs étrangers traitant des données
             personnelles pour le compte de clients européens qui déter-
             minent et mettent en œuvre ces traitements, devront donc se
             conformer à ces nouvelles obligations.

             • Les réflexes à avoir
             au regard des nouvelles obligations
             du sous-traitant                                                       Jean-Baptiste Chanial

             Aux termes des dispositions du RGPD13, le sous-traitant sera           - L’obligation de mettre à la disposition du responsable de
             tenu à de nouvelles obligations et notamment à :                       traitement toutes les informations nécessaires pour démon-
               - L’obligation de conclure un contrat avec le responsable de         trer le respect de ses obligations, notamment pour per-
               traitement14, devant prévoir l’objet, la durée, la nature et la      mettre la réalisation d’audits16 (par exemple, sur la base du
               finalité du traitement, le type de données personnelles et           référentiel CNIL pour la délivrance de labels en matière de
               les personnes concernées, les obligations et les droits du           procédure d’audit, accessible à l’adresse suivante : https://
               responsable de traitement.                                           www.legifrance.gouv.fr/affichTexte.do;?cidTexte=JORFTE
               Ce contrat sera notamment l’occasion d’acter et de parta-            XT000024742533)17.
               ger les tâches entre le responsable du traitement et le sous-        - L’obligation d’établir un registre d’activités, toutefois allégé
               traitant et, surtout, de partager la responsabilité incombant        par rapport à celui imposé au responsable de traitement18 -
               à chaque partie.                                                     qui devra comprendre (i) les coordonnées du sous-traitant
               Pour se mettre en conformité, les sous-traitants doivent             ainsi que celles de chaque responsable du traitement pour
               donc, dès à présent, analyser et réviser leurs contrats. A           le compte duquel il agit ainsi que, le cas échéant, celles de
               cette fin, ils peuvent d’ores et déjà se reporter aux exemples       leurs représentants, (ii) les catégories de traitements effec-
               de clauses de sous-traitance fournis par la CNIL, accessible         tués pour le compte de chaque responsable du traitement,
               à l’adresse suivante : https://www.cnil.fr/fr/sous-traitance-        (iii) le cas échéant, les informations relatives aux transferts
               exemple-de-clauses.                                                  de données personnelles, (iv) dans la mesure du possible,
               En tout état de cause, il sera recommandé de se faire ac-            une description générale des mesures de sécurité tech-
               compagner juridiquement dans le processus de révision,               niques et organisationnelles prises.
               comme dans celui de négociation, du contrat avec le client.       Il convient, à cet égard, de relever qu’un sous-traitant est sou-
               - L’obligation de demander l’autorisation écrite du respon-       vent, en outre, responsable de traitement pour les traitements
               sable de traitement en cas de recours à un éventuel sous-         de données personnelles qu’il met en œuvre pour son propre
               traitant également15 et dont il conviendra de conserver la        compte. En pratique, le sous-traitant devra donc tenir un re-
               preuve le cas échéant.                                            gistre pour ses activités de sous-traitance et un registre pour
               En tout état de cause, il faudra que le sous-traitant contrôle    les traitements qu’il met en œuvre pour son propre compte,
               la « chaîne de sous-traitance », car il restera responsable       le cas échéant.
               envers son client. Une maîtrise des outils utilisés par ces       A cette fin, la CNIL propose un modèle de registre (à destina-
               autres sous-traitants est également indispensable, notam-         tion des responsables de traitement néanmoins), accessible
               ment afin de disposer des informations sur la localisation        à l’adresse suivante : https://www.cnil.fr/sites/default/files/
               des données                                                       atoms/files/registre-reglement-publie.xlsx.

40                  samedi 3 février 2018 | vendredi 9 février 2018 vie juridique
Législation                      VIE
                                                                                                                                         JURIDIQUE

  - L’obligation d’assurer la sécurité du traitement dans les      et engageront leur responsabilité à cet égard. Ainsi, toute
  conditions prévues à l’article 32 du RGPD19.                     personne ayant subi un dommage matériel ou moral du fait
  En pratique, il sera recommandé, notamment, d’impo-              d'une violation du RGPD aura le droit d'obtenir du respon-
  ser à ses salariés des engagements de confidentialité ou         sable du traitement ou du sous-traitant réparation intégrale
  encore d’utiliser des outils de transfert de données sécuri-     du préjudice subi24. Le responsable du traitement et le sous-
  sés (connexion internet de type https, réseau privé virtuel      traitant seront responsables solidairement du dommage subi
  (VPN), etc.).                                                    par les personnes concernées par le traitement de données
  - L’obligation de coopérer avec les autorités de contrôle20,     personnelles concerné.
  notamment en répondant activement et rapidement à                A ce propos, il convient de noter qu’en cas d’instruction illi-
  toutes sollicitations de ces dernières et, bien entendu, en      cite donnée par le responsable du traitement au sous-trai-
  conservant les preuves de cette coopération, et notifier au      tant, si ce dernier n’informe pas le responsable du traitement
  responsable de traitement toute violation de données per-        de l’illicéité de ladite instruction alors le sous-traitant pourra
  sonnelles21, afin de permettre à ce dernier de pouvoir rem-      engager sa propre responsabilité25. Une responsabilité lourde
  plir ses obligations.                                            à porter pour le sous-traitant qui devra conserver la preuve
  En pratique, il peut être opportun de mettre en place un         de la transmission d’une telle information au responsable du
  processus automatisé et un système d’alerte effectif à cette     traitement qui l’emploie.
  fin.
  - L’obligation de désigner un représentant, le cas échéant,      De surcroît, outre la réparation du préjudice subi par les parti-
  dans les conditions visées à l’article 27 du RGPD.               culiers, le sous-traitant qui ne respecterait pas les prescriptions
  En amont, il conviendra donc de vérifier si le sous-traitant     du RGPD encourra des sanctions administratives importantes.
  est concerné par cette obligation.                               En effet, le RGPD alourdit largement le plafond de ces sanc-
  - L’obligation de désigner un délégué à la protection des        tions puisque seront alors encourues des sanctions pécu-
  données personnelles, le cas échéant22.                          niaires d’un montant de 10 millions d’euros ou 2 % du chiffre
  Pareillement, il conviendra également de s’assurer si la dési-   d’affaires annuel mondial total de l’exercice précédent (le
  gnation d’un DPO s’impose ou non au sous-traitant. Pour en       montant le plus élevé étant retenu) ou 20 millions d’euros ou
  savoir plus à ce propos, nous vous renvoyons à notre article     4 % du chiffre d’affaires annuel mondial total de l’exercice pré-
  spécifique rédigé sur ce sujet, accessible à l’adresse sui-      cédent (le montant le plus élevé étant retenu) selon le man-
  vante : https://www.village-justice.com/articles/statut-de-      quement concerné26.
  legue-protection-des-donnees-personnelles,24971.html.
                                                                   Or, l’intérêt de la distinction « responsable de traitement » /
Plus généralement, le sous-traitant devra assister, alerter et     « sous-traitant » apparaitra véritablement dans le partage de
conseiller son client, responsable du traitement de données        responsabilité entre le responsable du traitement et le sous-
personnelles mis en œuvre. A titre d’illustration, si une per-     traitant.
sonne concernée par le traitement de données personnelles          En effet, lorsqu'un responsable du traitement ou un sous-trai-
exerce ses droits (d’accès ou de portabilité par exemple), le      tant a réparé totalement le dommage subi par une personne
sous-traitant devra, dans la mesure du possible, aider le res-     concernée d’un traitement de données personnelles, il est en
ponsable du traitement à donner suite à cette demande, par         droit de réclamer auprès des autres responsables du traite-
exemple, par la mise en place d’outils de « ticketing » ou de      ment ou sous-traitants ayant participé au même traitement la
« hotline ».                                                       part de la réparation correspondant à leur part de responsa-
Les sous-traitants peuvent se reporter au « Guide du sous-trai-    bilité dans le dommage27. Or, tout responsable du traitement
tant » publié par la CNIL (et accessible à l’adresse suivante :    ayant participé au traitement est « responsable du dommage
https://www.cnil.fr/sites/default/files/atoms/files/rgpd-          causé par le traitement qui constitue une violation du présent
guide_sous-traitant-cnil.pdf ) qui a pour objectif d’accompa-      règlement », alors qu’un sous-traitant n'est tenu pour respon-
gner ces derniers dans la compréhension de leurs nouvelles         sable du dommage causé par le traitement « que s'il n'a pas
obligations.                                                       respecté les obligations prévues par le présent règlement
                                                                   qui incombent spécifiquement aux sous-traitants ou qu'il a
                                                                   agi en-dehors des instructions licites du responsable du trai-
• Les précautions à prendre
                                                                   tement ou contrairement à celles-ci »28. En conséquence, le
en termes de responsabilité
                                                                   sous-traitant devrait pouvoir plus aisément s’exonérer de sa
Innovation du RGPD : le sous-traitant sera susceptible d’enga-     responsabilité.
ger sa responsabilité en cas de manquement à ses obligations.      A cet égard, il sera primordial pour le sous-traitant de recen-
En effet, aujourd’hui, les obligations de la Loi Informatique et   ser, par écrit, les instructions du responsable de traitement
Libertés ne s’imposent qu’au responsable de traitement. Tou-       concernant les traitements de ces données personnelles afin
tefois, demain, à la lumière du RGPD et du projet de loi23, tant   de prouver agir « sur instruction documentée du responsable
le responsable de traitement que le sous-traitant seront tenus     de traitement » 29 et être mesure, le cas échéant, de s’exonérer
à des obligations pour le traitement de données personnelles       de sa responsabilité. Pour cela, il sera toujours préférable pour

                                                             vie juridique samedi 3 février 2018 | vendredi 9 février 2018                    41
VIE Législation
 JURIDIQUE

                                                                                                           le sous-traitant de demander une confirmation écrite des di-
                                                                                                           rectives données par le responsable de traitement.

                                                                                                           En ce début d’année 2018 et à seulement quelques mois de
                                                                                                           l’entrée en application du RGPD, les entreprises doivent dès
                                                                                                           à présent adapter leur politique interne de protection des
                                                                                                           données personnelles et s’atteler à leur mise en conformité
                                                                                                           au regard des nouvelles dispositions légales qui leur seront
                                                                                                           applicables, en se faisant accompagner et conseiller, le cas
                                                                                                           échéant.
                                                                                                           Le cabinet Fiducial Legal by Lamy, et son équipe d’experts en
                                                                                                           protection des données personnelles, est à votre écoute et à
                                                                                                           votre disposition pour toute question à cet égard.

                                                                                                              Jean-Baptiste CHANIAL,
                                                                                                           Avocat à la Cour,
                                                                                                           Associé Fiducial Legal by Lamy
                                                                                                              Cécile LOUWERS,
                                                                                                           Avocat à la Cour
                                                                                                           Fiducial Legal by Lamy

                  Cécile Louwers

             1
               Articles 82 et 83 du RGPD – voir infra.
             2
               https://www.cnil.fr/cnil-direct/question/1254?visiteur=part
             3
               http://www.assemblee-nationale.fr/15/projets/pl0490.asp
             4
               cf : https://www.cnil.fr/sites/default/files/atoms/files/projet_davis_cnil.pdf
             5
               Article 4 du RGPD.
             6
               Article 4 du RGPD.
             7
               G29, Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant» adopté le 16 février 2010, p. 15 – avis antérieur au RGPD mais qui demeure une grille de
             lecture utile pour les définitions de « sous-traitant » et « responsable de traitement », qui n’ont pas été modifiées.
             8
               G29, Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant» adopté le 16 février 2010, p. 9 – avis antérieur au RGPD mais qui demeure une grille de
             lecture utile pour les définitions de « sous-traitant » et « responsable de traitement », qui n’ont pas été modifiées.
             9
               G29, Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant» adopté le 16 février 2010, p. 12 – avis antérieur au RGPD mais qui demeure une grille de
             lecture utile pour les définitions de « sous-traitant » et « responsable de traitement », qui n’ont pas été modifiées.
             10
                Article 5 de la Loi Informatique et Libertés
             11
                Article 3 du RGPD.
             12
                Article 8 du Projet de loi.
             13
                A cet égard, nous notons que l’article 10 du Projet de loi modifiera les dispositions de l’article 35 de la Loi Informatique et Liberté en soumettant le sous-traitant aux disposi-
             tions du chapitre IV du RGPD.
             14
                Article 28 du RGPD.
             15
                Article 28 du RGPD.
             16
                Article 28 du RGPD.
             17
                CNIL, « Guide du sous-traitant », p. 6.
             18
                Article 30 du RGPD.
             19
                C’est-à-dire, toutes mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, telles que notamment (i) la pseudonymi-
             sation et le chiffrement des données à caractère personnel; (ii) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des
             systèmes et des services de traitement; (iii) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés
             en cas d'incident physique ou technique; (iv) des procédures de tests, d’analyse, de contrôle et d’auto-évaluation pour assurer la sécurité du traitement.
             20
                Article 31 du RGPD.
             21
                Article 33 du RGPD.
             22
                Article 37 du RGPD.
             23
                Article 10 du Projet de loi.
             24
                Article 82 du RGPD.
             25
                CNIL, « Guide du sous-traitant », p.12.
             26
                Article 83 – 4° et 5° du Règlement.
             27
                Article 82 5° du RGPD.
             28
                Article 82 2° du RGPD.
             29
                Article 28 du RGPD.

42                     samedi 3 février 2018 | vendredi 9 février 2018 vie juridique
Vous pouvez aussi lire
DIAPOSITIVES SUIVANTES ... Annuler