RGPD ET SOUS-TRAITANTS

Pour évaluer efficacement tous les risques juridiques liés à votre site, vous pouvez utiliser le service d'audit des données personnelles et de la conformité au RGPD mis en place par le cabinet Murielle-Isabelle CAHEN.

/ Avril 2023 /

La prise en compte du statut de sous-traitant, tant au regard de sa définition que des responsabilités en découlant, est une des mesures phares du Règlement général sur la protection des données (« RGPD »).

Ce texte européen, entré en vigueur le 25 mai 2018, vise non seulement les entreprises, mais également les acteurs publics afin de garantir leur mise en conformité à ce règlement.

Le Comité européen de la protection des données (CEPD) a adopté, le 7 juillet 2021, des lignes directrices finales précisant les critères qui permettent l’identification des différents acteurs des traitements de données à caractère personnel.

En effet, est considérée comme sous-traitant toute entité qui remplit deux critères : il faut qu’elle soit distincte du responsable du traitement et qu’elle agisse pour le compte de ce dernier. Elle doit agir sur délégation et suivre les instructions du responsable du traitement.

Toutefois, le sous-traitant dispose d’une marge de manœuvre pour choisir les moyens techniques et organisationnels lui permettant de déterminer la manière la plus efficace afin de servir au mieux les intérêts du responsable du traitement.

Ceci étant, si le sous-traitant traite des données pour ses propres finalités et sans instructions du responsable de traitement, il sera lui-même considéré comme étant un responsable du traitement mis en œuvre sur la base de ces données et, par conséquent, sa responsabilité pourrait être engagée à ce titre.

Il convient de mentionner que, en vertu du RGPD, le responsable de traitement doit s’assurer à ce que le sous-traitant présente certaines garanties suffisantes. À ce titre, le Comité européen de la protection des données précise dans sa ligne directrice les éléments qui doivent être pris en compte dans l’évaluation de ces garanties. Ces éléments se résument à la fiabilité, l’expertise, les ressources ainsi que la réputation sur le marché du sous-traitant. (1)

Si certaines dispositions demeurent presque inchangées par rapport aux textes actuellement en vigueur (on pense à la Loi Informatique et Libertés de 1978, comme à la directive 95/46), d’autres naissent pratiquement avec le RGPD.

Le régime de responsabilité pleine et entière des sous-traitants, s’il en existe des prémisses au sein de la loi, fait pourtant bien partie de cette seconde catégorie : « Avant le RGPD, il y avait une distinction relativement claire entre le responsable de traitement et le sous-traitant. Ce n’est plus le cas avec les nouvelles dispositions imposées par le RGPD » (1). Il convient donc de bien distinguer, désormais, un sous-traitant de son client (responsable de traitement).

De fait, c’est non seulement l’encadrement du statut-même de sous-traitant qui semble être revu par le texte européen (I), mais également leur rôle quant au traitement des données qui leur incombe (II).

I) L’encadrement du statut de sous-traitant au sein du RGPD

Si la définition du sous-traitant est précisée par le RGPD (A), c’est non seulement pour mettre en lumière leur rôle, mais également et parallèlement les sanctions applicables en cas de manquement de leur part (B).

A) La définition du sous-traitant

La CNIL a pu rappeler que le sous-traitant est celui qui traite de données personnelles « pour le compte, sur instruction et sous l’autorité d’un responsable de traitement » (2), lui-même défini au sein de l’article 4§8 du RGPD comme celui « qui détermine les finalités et les moyens d’un traitement » (3).

Il peut s’agir de prestataires informatiques d’hébergement et de maintenance, de prestataire de paye, etc.

Dès lors, tout prestataire ayant accès à des données personnelles et les traitant dans de telles conditions relève d’un tel régime. Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement (4).

Il sera de même, d’ailleurs, au regard des données traitées par le prestataire pour son propre compte.

Ceci étant, les entreprises comme les personnes publiques amenées à traiter de telles données n’ont parfois pas conscience de l’exactitude de leur statut : à cet égard, le G29 s’est attaché à faciliter cette définition en dégageant plusieurs critères (5) pouvant constituer un faisceau d’indices, comme « le niveau d’instruction donnée par le client au prestataire », le degré de contrôle du client sur ce dernier, etc.

Il est d’ailleurs intéressant de constater que cet avis date de 2010, a été soigneusement préparé au fil des ans, pour en faciliter le plus possible l’application par les acteurs concernés.

Cela dit, l’avis du G29 a été remplacé par les premières lignes directrices adoptées par Comité européen de la protection des données, le 2 septembre 2020, sur les notions de responsable du traitement et de sous-traitant.

Le CEPD distingue les moyens « essentiels du traitement » qui sont déterminés par le responsable du traitement des moyens « non-essentiels » qui sont déterminés par le sous-traitant. En principe, le sous-traitant est chargé de la réalisation du traitement pour le compte de l’autre partie, à savoir, le responsable du traitement, conformément aux instructions de ce dernier.

Cependant, le CEPD rajoute que le sous-traitant est en mesure de prendre des décisions s’agissant de certains moyens « non-essentiels ». (2)

Enfin, une énième distinction est faite au regard du principe de territorialité : ainsi, le RGPD prévoit que le statut de sous-traitant concerne aussi bien les prestataires établis au sein du territoire de l’Union européenne, que ceux basés à l’étranger, mais dont les « activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’UE [ou] au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE » (6).

B) Les sanctions en cas de manquement

Toutes ces dispositions constituent le socle nouveau de la responsabilité des sous-traitants, un principe jusque là non prévu par les textes.

En effet, la Loi Informatique et Libertés de 1978 ne prévoyait aucunement de pénaliser les manquements de ce type de prestataire. C’est désormais chose faite à travers le RGPD, qui instaure un principe de « responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles », aussi bien concernant les responsables de traitement que les sous-traitants.

Le nouveau texte poursuit donc un tel objectif, quand la loi prévoyait seulement que le contrat liant le responsable de traitement et le sous-traitant devait indiquer clairement les obligations incombant à ce dernier en matière de sécurité et de confidentialité des données, et plus largement que le sous-traitant doit « présenter des garanties suffisantes pour assurer la mise en œuvre » de ces mesures.

À cette fin, l’assise de la responsabilité se base sur un régime de sanction pour les sous-traitants n’ayant pas respecté de telles obligations.

Les sous-traitants peuvent également être contrôlés par la CNIL et faire l’objet des sanctions administratives prévues par le RGPD.

Ainsi, et comme le prévoit l’article 82 du RGPD : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant ».

Ces sanctions peuvent s’élever à un montant de plus de 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent.

Ces amendes se veulent incitatives pour les entreprises, et particulièrement envers celles dont le modèle économique se fonde exclusivement sur le traitement des données. La question demeure de savoir qu’elles sont les obligations des sous-traitants en la matière.

Besoin de l'aide d'un avocat pour le RGPD ?

Téléphonez - nous au : 01 43 37 75 63

ou contactez - nous en cliquant sur le lien_

Dans une décision rendue le 27 janvier 2021, la formation restreinte de la CNIL a sanctionné un responsable de traitement et son sous-traitant sur le fondement de l’article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, au paiement des sommes de 150 000 euros et 75 000 euros.

L’article 32 du RGPD dispose que : « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Au cours de ses investigations, la CNIL avait constaté que le site web en cause avait subi de nombreuses vagues d’attaques de type credential stuffing. En réponse à cela, les sociétés en charge de la gestion du site avaient décidé de concentrer leur stratégie de réponse sur le développement d’un outil permettant de détecter et de bloquer les attaques lancées à partir de robots.

Toutefois, le développement de cet outil n’a été finalisé qu’après un an et durant toute cette période les données des utilisateurs étaient exposées à des violations potentielles. La CNIL relève que durant cet intervalle, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes. (3)

II) Le rôle du sous-traitant en vertu du RGPD

Certes, de nouvelles obligations incombent aux sous-traitants (A) : encore faut-il prévoir leur mise en application pratique (B).

A) Les obligations du sous-traitant

L’article 28 précédemment cité souligne expressément que le sous-traitant devra « offrir à son client des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

De ce régime général découlent plusieurs obligations pour le responsable de traitement, qui peuvent être regroupées en différentes catégories :

Une obligation de transparence, qui permettra d’informer précisément le client des formalités effectuées relatives aux traitements. Le sous-traitant devra tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, recenser par écrit les instructions du client, mais aussi garantir la finalité, l’étendue et la durée du traitement font parties des formalités requises à cet égard (articles 28 et 30 du RGPD) ;
Une obligation de protection des données, mise en œuvre par tout moyen nécessaire et dès la conception du produit ou service en question (article 32 du RGPD) ;

Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation de celle-ci au client, ou encore la suppression des données au terme de la prestation (articles 33 et 34 du RGPD) ;
Une obligation d’assistance, relative à la bonne exécution du traitement, impliquant une aide au client quant au respect des droits des personnes, à la sécurité des données, ou encore quand une directive du client vous semble contraire aux textes en vigueur.

B) La mise en œuvre de ces obligations

Tout d’abord, il est important de garder à l’esprit qu’au regard de tous ces changements, vous devrez certainement revoir l’ensemble des contrats avec vos clients.

En effet, ces nouvelles dispositions rendent fort probable le manque de conformité des contrats en vigueur. L’intégration de clauses en permettant leur mise en conformité apparaît ici essentielle.

D’autre part, gardez à l’esprit que si vous êtes libre de déléguer certains traitements à un sous-traitant (après autorisation écrite de votre client), celui-ci sera soumis à ces mêmes obligations, mais vous devrez répondre de ses manquements à votre client.

Vous êtes en effet responsable de tout manquement de votre propre sous-traitant, vis-à-vis de votre client, puisque ces deux prestataires ne sont aucunement liés contractuellement.

On parle de sous-traitance en chaîne.

Sachez, par ailleurs, que si vous êtes une autorité ou un organisme public sous-traitant, ou que vous êtes amené à traiter, pour le compte de vos clients, de données sensibles ou à grande échelle, vous avez l’obligation de désigner un délégué à la protection des données , chargé de vous accompagner dans ces tâches et de s’assurer de la conformité de ces traitements.

Il peut être judicieux, même si vous n’y êtes pas obligé, d’effectuer une telle désignation pour vous assurer de la conformité parfaite de vos traitements.

Enfin, et puisque le RGPD poursuit cette volonté d’unifier les règles en vigueur au sein de l’UE, il paraît logique que dans le cas où vous êtes établi au sein de plusieurs pays de l’Union, vous bénéficiez effectivement du mécanisme de guichet unique, qui vous permet de dialoguer avec une seule autorité nationale de contrôle (en l’occurrence, celle de votre établissement principal).

Assurez-vous donc, en tant que sous-traitant, de prendre pleinement conscience des obligations qui vous incombent.

Pour lire un version plus adaptée de cet article sur le RGPD et les sous-traitants, sur smartphone, il faut cliquer

Sources :

(1) https://www.dalloz-actualite.fr/flash/notions-de-responsable-du-traitement-et-de-sous-traitant-au-sens-du-rgpd-eclairages-du-cepd#.YXa6Py0iu3U

(2) https://www.cnil.fr/fr/cepd-lance-consultation-publique-lignes-directrices-responsable-traitement-sous-traitant

(3) https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant

ARTICLES QUI POURRAIENT VOUS INTERESSER :

SOURCES :
(1) https://www.dpms.eu/rgpd/guide-rgpd-accompagner-sous-traitant/
(2) https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
(3) http://www.privacy-regulation.eu/fr/4.htm
(4) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28
(5) https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf(6) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1 # Article3

retour à la rubrique 'Autres articles'

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle. Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site. Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.
\| Conditions d'utilisation du site: IDDN \| Murielle Cahen \| Contacts \| Plan d'accès \| English version \| \| C G V \| Sommaire \| Plan \| recherche \| Internet \| Vie des sociétés \| Vie quotidienne \| Services en ligne \| Votre question? \|
Nous joindre - Tel : 0143377563
En poursuivant votre navigation sur notre site, vous acceptez le dépôt de cookies qui nous permettront de vous proposer des contenus intéressants, des fonctions de partage vers les réseaux sociaux et d'effectuer des statistiques. Voir notre politique de gestion données personnelles.