QUELQUES CONSEILS D'AIDE À LA MISE EN CONFORMITÉ AU RGPD À L'ATTENTION DES SOUS-TRAITANTS
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Législation VIE
JURIDIQUE
QUELQUES CONSEILS D’AIDE
À LA MISE EN CONFORMITÉ AU RGPD
À L’ATTENTION DES SOUS-TRAITANTS
L’année 2018 sera marquée par l’entrée en application du Règlement (UE) 2016/679 du 27 avril
2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données (ci-après « RGPD »), qui modifie largement la philoso-
phie actuelle de la protection de ces données en supprimant généralement l’obligation de formalités
préalables, tout en responsabilisant les opérateurs.
Parmi les nouveautés figure le renforcement des obligations niques de traiter des données à caractère personnel, mais
des sous-traitants, qu’ils soient établis dans l’UE ou hors UE, également le « comment » du traitement, qui comprend des
dont la responsabilité est susceptible d’être engagée directe- questions comme « quelles données seront traitées »7. Dès
ment en cas de manquement, alors que les sanctions ont été lors, sera considérée comme responsable de traitement, la
alourdies1. personne qui déterminera le « pourquoi » et le « comment »
Dans ce contexte, notre Gouvernement avait annoncé l’adap- du traitement de données personnelles.
tation de notre règlementation nationale, et en particulier de En pratique, être responsable du traitement résultera essen-
notre Loi Informatique et Libertés du 6 janvier 1978 (ci-après tiellement du fait de choisir de traiter les données à carac-
« Loi Informatique et Libertés »), au regard des nouvelles exi- tère personnel pour des finalités propres. Cette capacité « se
gences du RGPD2. Un projet de loi a été déposé il y a quelques déduira généralement d’une analyse des éléments factuels
semaines3. Or, d’après la CNIL, « le Gouvernement a fait le ou des circonstances de l’espèce: il conviendra d’examiner
choix de n’opérer que les modifications strictement indispen- les opérations de traitement en question et de comprendre
sables, sur le fond, à la mise en œuvre du [RGPD], et de ren- qui les détermine, en répondant dans un premier temps aux
voyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une questions «pourquoi ce traitement a-t-il lieu ?» et «qui l’a en-
ordonnance ultérieure, conformément à l’habilitation prévue trepris ?» » 8. A cet égard, il convient de noter que la qualifica-
à l’article 23 du projet de loi. Or, dans l’attente de cette ordon- tion prévue par un contrat ne vaut pas qualification définitive
nance, ce choix induit une double difficulté de lecture »4. En si, dans les faits, la personne désignée par le contrat comme
attendant et en tout état de cause, les dispositions du RGPD le « responsable de traitement » n’est pas celle qui détermine
seront, à compter du 25 mai prochain, applicables sans qu’au- effectivement comment les données à caractère personnel
cune mesure de transposition ne soit nécessaire. sont traitées9.
A cette occasion et alors que le RGPD entrera en application
dans moins de six mois, il nous est apparu opportun de rap- Ces définitions étant rappelées, il doit être souligné que
peler brièvement les obligations des sous-traitants en leur chaque sous-traitant doit également s’assurer que le RGPD
fournissant quelques conseils d’aide à la mise en conformité. est effectivement applicable aux traitements de données per-
sonnelles sur lesquels il intervient.
• Rappel sur la définition de « sous- Aujourd’hui, sont soumis à la Loi Informatique et Libertés, les
traitant » et leur soumission au traitements de données personnelles (i) dont le responsable
RGPD est établi sur le territoire français ou (ii) sans être établi sur
Le « sous-traitant » est la personne physique ou morale, l'au- le territoire français ou sur celui d'un autre Etat membre de
torité publique, le service ou un autre organisme qui traite la Communauté européenne, si le responsable de traitement
des données à caractère personnel pour le compte du res- recourt à des moyens de traitement situés sur le territoire
ponsable du traitement5. Cette notion n’a pas été modifiée français10.
par le RGPD et sera ainsi considérée comme sous-traitant, la Demain, le RGPD s’appliquera (i) au traitement des données
personne qui n’agira que sur instruction du responsable du personnelles effectué dans le cadre des activités d'un établis-
traitement. sement d'un responsable du traitement ou d'un sous-traitant
Le « responsable de traitement », quant à lui, est la personne, sur le territoire de l'Union, que le traitement ait lieu ou non
l’autorité publique, le service ou l’organisme qui détermine dans l'Union, et (ii) au traitement des données personnelles
les finalités et les moyens du traitement de données person- relatives à des personnes concernées qui se trouvent sur le
nelles mis en œuvre6. La « finalité » d’un traitement s’entend territoire de l'Union par un responsable du traitement ou un
du résultat attendu et recherché ou guidé par les actions pré- sous-traitant qui n'est pas établi dans l'Union, lorsque les acti-
vues au titre du traitement mis en œuvre. Les « moyens » d’un vités de traitement sont liées à l'offre de biens ou de services
traitement s’entendent des mesures mises en œuvre pour à ces personnes concernées dans l'Union ou au suivi du com-
parvenir à ce résultat ; étant précisé que les « moyens » d’un portement de ces personnes, dans la mesure où il s'agit d'un
traitement ne désignent pas seulement les moyens tech- comportement qui a lieu au sein de l'Union11.
vie juridique samedi 3 février 2018 | vendredi 9 février 2018 39
VIE Législation
JURIDIQUE
A cet égard, le projet de loi a également précisé12, pour les
dispositions relatives aux marges de manœuvres permises
aux Etats membres par le RGPD, que la loi nationale s’appli-
quera dès lors que la personne concernée par le traitement
en cause réside en France, y compris lorsque le responsable
de traitement n’est pas établi en France. En revanche, dans le
cadre du respect du droit à la liberté d’expression et d’infor-
mation, le droit applicable sera celui de l’Etat dans lequel sera
établi le responsable de traitement.
Dès lors, les prestataires de services informatiques, les inté-
grateurs de logiciels, les sociétés de sécurité informatique,
les entreprises de services du numérique (SSII), les agences
marketing ou de communication qui traitent des données
personnelles pour le compte de leur client… seront soumis, à
compter du 25 mai 2018, au RGPD et aux obligations décrites
ci-après, peu important que leur siège se situe hors de l’Union
Européenne.
Demain, de grands acteurs étrangers traitant des données
personnelles pour le compte de clients européens qui déter-
minent et mettent en œuvre ces traitements, devront donc se
conformer à ces nouvelles obligations.
• Les réflexes à avoir
au regard des nouvelles obligations
du sous-traitant Jean-Baptiste Chanial
Aux termes des dispositions du RGPD13, le sous-traitant sera - L’obligation de mettre à la disposition du responsable de
tenu à de nouvelles obligations et notamment à : traitement toutes les informations nécessaires pour démon-
- L’obligation de conclure un contrat avec le responsable de trer le respect de ses obligations, notamment pour per-
traitement14, devant prévoir l’objet, la durée, la nature et la mettre la réalisation d’audits16 (par exemple, sur la base du
finalité du traitement, le type de données personnelles et référentiel CNIL pour la délivrance de labels en matière de
les personnes concernées, les obligations et les droits du procédure d’audit, accessible à l’adresse suivante : https://
responsable de traitement. www.legifrance.gouv.fr/affichTexte.do;?cidTexte=JORFTE
Ce contrat sera notamment l’occasion d’acter et de parta- XT000024742533)17.
ger les tâches entre le responsable du traitement et le sous- - L’obligation d’établir un registre d’activités, toutefois allégé
traitant et, surtout, de partager la responsabilité incombant par rapport à celui imposé au responsable de traitement18 -
à chaque partie. qui devra comprendre (i) les coordonnées du sous-traitant
Pour se mettre en conformité, les sous-traitants doivent ainsi que celles de chaque responsable du traitement pour
donc, dès à présent, analyser et réviser leurs contrats. A le compte duquel il agit ainsi que, le cas échéant, celles de
cette fin, ils peuvent d’ores et déjà se reporter aux exemples leurs représentants, (ii) les catégories de traitements effec-
de clauses de sous-traitance fournis par la CNIL, accessible tués pour le compte de chaque responsable du traitement,
à l’adresse suivante : https://www.cnil.fr/fr/sous-traitance- (iii) le cas échéant, les informations relatives aux transferts
exemple-de-clauses. de données personnelles, (iv) dans la mesure du possible,
En tout état de cause, il sera recommandé de se faire ac- une description générale des mesures de sécurité tech-
compagner juridiquement dans le processus de révision, niques et organisationnelles prises.
comme dans celui de négociation, du contrat avec le client. Il convient, à cet égard, de relever qu’un sous-traitant est sou-
- L’obligation de demander l’autorisation écrite du respon- vent, en outre, responsable de traitement pour les traitements
sable de traitement en cas de recours à un éventuel sous- de données personnelles qu’il met en œuvre pour son propre
traitant également15 et dont il conviendra de conserver la compte. En pratique, le sous-traitant devra donc tenir un re-
preuve le cas échéant. gistre pour ses activités de sous-traitance et un registre pour
En tout état de cause, il faudra que le sous-traitant contrôle les traitements qu’il met en œuvre pour son propre compte,
la « chaîne de sous-traitance », car il restera responsable le cas échéant.
envers son client. Une maîtrise des outils utilisés par ces A cette fin, la CNIL propose un modèle de registre (à destina-
autres sous-traitants est également indispensable, notam- tion des responsables de traitement néanmoins), accessible
ment afin de disposer des informations sur la localisation à l’adresse suivante : https://www.cnil.fr/sites/default/files/
des données atoms/files/registre-reglement-publie.xlsx.
40 samedi 3 février 2018 | vendredi 9 février 2018 vie juridiqueLégislation VIE
JURIDIQUE
- L’obligation d’assurer la sécurité du traitement dans les et engageront leur responsabilité à cet égard. Ainsi, toute
conditions prévues à l’article 32 du RGPD19. personne ayant subi un dommage matériel ou moral du fait
En pratique, il sera recommandé, notamment, d’impo- d'une violation du RGPD aura le droit d'obtenir du respon-
ser à ses salariés des engagements de confidentialité ou sable du traitement ou du sous-traitant réparation intégrale
encore d’utiliser des outils de transfert de données sécuri- du préjudice subi24. Le responsable du traitement et le sous-
sés (connexion internet de type https, réseau privé virtuel traitant seront responsables solidairement du dommage subi
(VPN), etc.). par les personnes concernées par le traitement de données
- L’obligation de coopérer avec les autorités de contrôle20, personnelles concerné.
notamment en répondant activement et rapidement à A ce propos, il convient de noter qu’en cas d’instruction illi-
toutes sollicitations de ces dernières et, bien entendu, en cite donnée par le responsable du traitement au sous-trai-
conservant les preuves de cette coopération, et notifier au tant, si ce dernier n’informe pas le responsable du traitement
responsable de traitement toute violation de données per- de l’illicéité de ladite instruction alors le sous-traitant pourra
sonnelles21, afin de permettre à ce dernier de pouvoir rem- engager sa propre responsabilité25. Une responsabilité lourde
plir ses obligations. à porter pour le sous-traitant qui devra conserver la preuve
En pratique, il peut être opportun de mettre en place un de la transmission d’une telle information au responsable du
processus automatisé et un système d’alerte effectif à cette traitement qui l’emploie.
fin.
- L’obligation de désigner un représentant, le cas échéant, De surcroît, outre la réparation du préjudice subi par les parti-
dans les conditions visées à l’article 27 du RGPD. culiers, le sous-traitant qui ne respecterait pas les prescriptions
En amont, il conviendra donc de vérifier si le sous-traitant du RGPD encourra des sanctions administratives importantes.
est concerné par cette obligation. En effet, le RGPD alourdit largement le plafond de ces sanc-
- L’obligation de désigner un délégué à la protection des tions puisque seront alors encourues des sanctions pécu-
données personnelles, le cas échéant22. niaires d’un montant de 10 millions d’euros ou 2 % du chiffre
Pareillement, il conviendra également de s’assurer si la dési- d’affaires annuel mondial total de l’exercice précédent (le
gnation d’un DPO s’impose ou non au sous-traitant. Pour en montant le plus élevé étant retenu) ou 20 millions d’euros ou
savoir plus à ce propos, nous vous renvoyons à notre article 4 % du chiffre d’affaires annuel mondial total de l’exercice pré-
spécifique rédigé sur ce sujet, accessible à l’adresse sui- cédent (le montant le plus élevé étant retenu) selon le man-
vante : https://www.village-justice.com/articles/statut-de- quement concerné26.
legue-protection-des-donnees-personnelles,24971.html.
Or, l’intérêt de la distinction « responsable de traitement » /
Plus généralement, le sous-traitant devra assister, alerter et « sous-traitant » apparaitra véritablement dans le partage de
conseiller son client, responsable du traitement de données responsabilité entre le responsable du traitement et le sous-
personnelles mis en œuvre. A titre d’illustration, si une per- traitant.
sonne concernée par le traitement de données personnelles En effet, lorsqu'un responsable du traitement ou un sous-trai-
exerce ses droits (d’accès ou de portabilité par exemple), le tant a réparé totalement le dommage subi par une personne
sous-traitant devra, dans la mesure du possible, aider le res- concernée d’un traitement de données personnelles, il est en
ponsable du traitement à donner suite à cette demande, par droit de réclamer auprès des autres responsables du traite-
exemple, par la mise en place d’outils de « ticketing » ou de ment ou sous-traitants ayant participé au même traitement la
« hotline ». part de la réparation correspondant à leur part de responsa-
Les sous-traitants peuvent se reporter au « Guide du sous-trai- bilité dans le dommage27. Or, tout responsable du traitement
tant » publié par la CNIL (et accessible à l’adresse suivante : ayant participé au traitement est « responsable du dommage
https://www.cnil.fr/sites/default/files/atoms/files/rgpd- causé par le traitement qui constitue une violation du présent
guide_sous-traitant-cnil.pdf ) qui a pour objectif d’accompa- règlement », alors qu’un sous-traitant n'est tenu pour respon-
gner ces derniers dans la compréhension de leurs nouvelles sable du dommage causé par le traitement « que s'il n'a pas
obligations. respecté les obligations prévues par le présent règlement
qui incombent spécifiquement aux sous-traitants ou qu'il a
agi en-dehors des instructions licites du responsable du trai-
• Les précautions à prendre
tement ou contrairement à celles-ci »28. En conséquence, le
en termes de responsabilité
sous-traitant devrait pouvoir plus aisément s’exonérer de sa
Innovation du RGPD : le sous-traitant sera susceptible d’enga- responsabilité.
ger sa responsabilité en cas de manquement à ses obligations. A cet égard, il sera primordial pour le sous-traitant de recen-
En effet, aujourd’hui, les obligations de la Loi Informatique et ser, par écrit, les instructions du responsable de traitement
Libertés ne s’imposent qu’au responsable de traitement. Tou- concernant les traitements de ces données personnelles afin
tefois, demain, à la lumière du RGPD et du projet de loi23, tant de prouver agir « sur instruction documentée du responsable
le responsable de traitement que le sous-traitant seront tenus de traitement » 29 et être mesure, le cas échéant, de s’exonérer
à des obligations pour le traitement de données personnelles de sa responsabilité. Pour cela, il sera toujours préférable pour
vie juridique samedi 3 février 2018 | vendredi 9 février 2018 41VIE Législation
JURIDIQUE
le sous-traitant de demander une confirmation écrite des di-
rectives données par le responsable de traitement.
En ce début d’année 2018 et à seulement quelques mois de
l’entrée en application du RGPD, les entreprises doivent dès
à présent adapter leur politique interne de protection des
données personnelles et s’atteler à leur mise en conformité
au regard des nouvelles dispositions légales qui leur seront
applicables, en se faisant accompagner et conseiller, le cas
échéant.
Le cabinet Fiducial Legal by Lamy, et son équipe d’experts en
protection des données personnelles, est à votre écoute et à
votre disposition pour toute question à cet égard.
Jean-Baptiste CHANIAL,
Avocat à la Cour,
Associé Fiducial Legal by Lamy
Cécile LOUWERS,
Avocat à la Cour
Fiducial Legal by Lamy
Cécile Louwers
1
Articles 82 et 83 du RGPD – voir infra.
2
https://www.cnil.fr/cnil-direct/question/1254?visiteur=part
3
http://www.assemblee-nationale.fr/15/projets/pl0490.asp
4
cf : https://www.cnil.fr/sites/default/files/atoms/files/projet_davis_cnil.pdf
5
Article 4 du RGPD.
6
Article 4 du RGPD.
7
G29, Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant» adopté le 16 février 2010, p. 15 – avis antérieur au RGPD mais qui demeure une grille de
lecture utile pour les définitions de « sous-traitant » et « responsable de traitement », qui n’ont pas été modifiées.
8
G29, Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant» adopté le 16 février 2010, p. 9 – avis antérieur au RGPD mais qui demeure une grille de
lecture utile pour les définitions de « sous-traitant » et « responsable de traitement », qui n’ont pas été modifiées.
9
G29, Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant» adopté le 16 février 2010, p. 12 – avis antérieur au RGPD mais qui demeure une grille de
lecture utile pour les définitions de « sous-traitant » et « responsable de traitement », qui n’ont pas été modifiées.
10
Article 5 de la Loi Informatique et Libertés
11
Article 3 du RGPD.
12
Article 8 du Projet de loi.
13
A cet égard, nous notons que l’article 10 du Projet de loi modifiera les dispositions de l’article 35 de la Loi Informatique et Liberté en soumettant le sous-traitant aux disposi-
tions du chapitre IV du RGPD.
14
Article 28 du RGPD.
15
Article 28 du RGPD.
16
Article 28 du RGPD.
17
CNIL, « Guide du sous-traitant », p. 6.
18
Article 30 du RGPD.
19
C’est-à-dire, toutes mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, telles que notamment (i) la pseudonymi-
sation et le chiffrement des données à caractère personnel; (ii) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des
systèmes et des services de traitement; (iii) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés
en cas d'incident physique ou technique; (iv) des procédures de tests, d’analyse, de contrôle et d’auto-évaluation pour assurer la sécurité du traitement.
20
Article 31 du RGPD.
21
Article 33 du RGPD.
22
Article 37 du RGPD.
23
Article 10 du Projet de loi.
24
Article 82 du RGPD.
25
CNIL, « Guide du sous-traitant », p.12.
26
Article 83 – 4° et 5° du Règlement.
27
Article 82 5° du RGPD.
28
Article 82 2° du RGPD.
29
Article 28 du RGPD.
42 samedi 3 février 2018 | vendredi 9 février 2018 vie juridiqueVous pouvez aussi lire
