La fourniture d’un service de cloud peut impliquer l’intervention de plusieurs sous-traitants. C’est le cas lorsque l’éditeur d’une solution fournie en mode Software-as-a-Service (SaaS) a recours à un prestataire de services d’hébergement et/ou de support informatique.
Quels sont les enjeux contractuels de la sous-traitance ultérieure en matière de cloud ? Quelles sont les bonnes pratiques à mettre en œuvre ?
Qu’est-ce que la sous-traitance ultérieure ?
La sous-traitance ultérieure fait référence à une chaîne d’activités de traitement mises en œuvre pour le compte d’un responsable de traitement. Dans cette situation, un prestataire, agissant en qualité de sous-traitant, confie des prestations impliquant un traitement de données à caractère personnel à un autre prestataire (sous-traitant ultérieur).
Toute la chaîne d’activités de traitement doit être régie par des contrats écrits, imposant à l’ensemble des sous-traitants ultérieurs des obligations identiques en substance à celles prévues à la charge du sous-traitant initial dans le contrat conclu avec le responsable de traitement.
Dans quelles conditions la sous-traitance ultérieure est-elle autorisée ?
Le responsable de traitement a la possibilité de donner soit (i) une autorisation spécifique pour chaque nouveau sous-traitant ultérieur, soit (ii) une autorisation générale au recours à des sous-traitants ultérieurs, dont la liste peut être fournie en annexe du contrat.
Le Comité européen de la protection des données (CEPD) précise ces deux mécanismes dans les Lignes directrices 07/2020 concernant les notions de responsable de traitement et de sous-traitant dans le RGPD du 7 juillet 2021 :
- L’autorisation spécifique implique la nécessité de formuler une demande d’autorisation pour chaque sous-traitant ultérieur, qui doit être considérée comme rejetée à défaut de réponse du responsable de traitement dans le délai imparti.
- L’autorisation générale permet au sous-traitant d’informer le responsable de traitement d’un changement de sous-traitant ultérieur en temps utile afin de lui donner la possibilité de s’y opposer. Le défaut d’opposition du responsable de traitement pourra ainsi être interprété comme une autorisation du nouveau sous-traitant ultérieur.
Quels sont les enjeux de la sous-traitance ultérieure ?
Une perspective de contrôle renforcé
Tout d’abord, la sous-traitance ultérieure en matière de cloud est susceptible de faire l’objet d’une attention particulière des autorités de contrôle en 2022. En effet, la thématique prioritaire des services de cloud s’inscrit tant dans les axes de contrôle de la Cnil que dans l’action du premier cadre d’application coordonné (coordinated enforcement framework) du CEPD. A ce titre, ce dernier souhaite lancer dans les mois à venir des investigations au niveau européen sur l’utilisation des services de cloud par le secteur public.
En outre, l’action de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) s’inscrit également dans la même perspective avec l’adoption du label « Cloud de confiance » et la publication d’une nouvelle version du référentiel SecNumCloud relatif aux services d’informatique en nuage.
A titre d’illustration, afin de bénéficier du label « Cloud de confiance », les prestataires doivent évaluer « les risques d’atteinte à la confidentialité des données des commanditaires [responsables de traitement] par des tiers impliqués dans la fourniture du service (fournisseurs, sous-traitants, etc.) » (art. 5.3, SecNumCloud).
De manière générale, le nouveau référentiel précise que le prestataire de cloud doit « tenir compte des cas de sous-traitance à plusieurs niveaux » afin de s’assurer de la sécurité du service et de la protection des données à caractère personnel des personnes concernées (art. 15.1, SecNumCloud).
Des obligations à la charge de tous les acteurs
Concernant les enjeux de la sous-traitance mis en exergue dans le RGPD, l’article 28 prévoit que le responsable de traitement doit avoir recours uniquement à des sous-traitants qui présentent des garanties suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles.
En outre, le sous-traitant initial est à son tour pleinement responsable à l’égard du responsable de traitement de l’exécution par le sous-traitant ultérieur de ses obligations.
En cas de manquement, tant le responsable de traitement que le sous-traitant peuvent être sanctionnés au titre de l’obligation d’encadrer la sous-traitance ultérieure par un contrat. Dans ce contexte, les amendes administratives peuvent s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’entreprise, en vertu de l’article 83-4 du RGPD.
Quelles obligations contractuelles pour le sous-traitant initial ?
Il appartient au sous-traitant initial de (i) conclure un contrat avec son sous-traitant ultérieur et (ii) d’y faire figurer les mentions obligatoires de l’article 28 du RGPD, telles que :
- le traitement des données conformément aux instructions documentées du responsable de traitement,
- l’obligation de confidentialité des personnes autorisées à traiter des données,
- la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (article 32 du RGPD),
- le respect de l’autorisation générale ou spécifique pour le recours à un nouveau sous-traitant,
- l’assistance du responsable de traitement dans le respect de ses obligations, notamment dans le cadre de la réponse aux demandes des personnes concernées,
- la garantie de la suppression ou de la restitution des données à caractère personnel, selon le choix du responsable de traitement, en ce compris la destruction de toutes copies existantes,
- la démonstration de la conformité aux obligations de l’article 28 du RGPD à l’égard du responsable de traitement, en ce compris la collaboration dans le cadre des audits.
De par ces clauses miroirs, le sous-traitant ultérieur sera soumis aux mêmes obligations contractuelles que le sous-traitant initial.
Le défaut d’une ou plusieurs de ces mentions présente pour le sous-traitant initial un risque de non-conformité et de sanction au titre de ses propres obligations tant vis-à-vis du responsable de traitement et qu’au regard du RGPD.
Par une délibération du 28 décembre 2021, la Cnil a sanctionné un établissement de paiement agréé, agissant en qualité de sous-traitant, notamment au titre d’un manquement à l’obligation d’encadrer par un acte juridique formalisé les traitements effectués par un sous-traitant ultérieur.
Les constats de l’autorité de contrôle ont notamment révélé l’absence et/ou l’insuffisance des mentions obligatoires de l’article 28 du RGPD figurant dans les contrats conclus entre le sous-traitant et ses sous-traitants ultérieurs.
Quelles actions le sous-traitant peut-il mettre en œuvre à l’égard de ses sous-traitants ultérieurs ?
Questionnaire relatif à la protection des données
Dans la décision précitée, le sous-traitant se prévalait de la mise en place d’un « questionnaire relatif à la sous-traitance » transmis à ses sous-traitants ultérieurs afin de s’assurer des garanties suffisantes présentées par ces derniers.
Toutefois, la Cnil a relevé d’une part, que la preuve de la complétude du questionnaire par les sous-traitants n’était pas rapportée, et d’autre part, que les mentions obligatoires de l’article 28 du RGPD faisaient défaut dans les contrats conclus avec les sous-traitants ultérieurs.
Par conséquent, la Cnil a estimé que « ledit questionnaire n’a qu’une valeur déclarative et qu’il ne constitue pas un acte juridique contraignant par lequel le sous-traitant ultérieur s’engage à respecter les éléments définis ».
Bien que l’envoi d’un questionnaire aux sous-traitants ultérieurs soit insuffisant à lui seul, il peut s’agir d’une bonne pratique, à condition qu’elle soit accompagnée d’un encadrement contractuel efficace.
Selon le cas, le questionnaire complété par le sous-traitant ultérieur peut être annexé au contrat afin de lui donner force obligatoire. Le contrat peut ainsi prévoir l’engagement du sous-traitant ultérieur à garantir la mise en œuvre des actions indiquées dans le questionnaire pendant toute la durée du contrat, ainsi que des possibilités de résiliation du contrat par le sous-traitant initial en cas de manquement.
Modalités d’audit
Il est également opportun d’encadrer contractuellement les possibilités d’audit de conformité du sous-traitant ultérieur, tant par le sous-traitant initial que par le responsable de traitement. En effet, la conduite d’un audit permet notamment de vérifier les déclarations des sous-traitants ultérieurs énoncés dans les questionnaires qui leur sont soumis. Elle participe ainsi à une démarche de vérification des garanties effectives mises en œuvre par les sous-traitants ultérieurs.
A ce titre, le contrat peut notamment prévoir :
- le type d’audit convenu entre les parties (à distance, sur site, audit documentaire),
- les modalités de désignation d’un auditeur,
- la possibilité pour le responsable de traitement de réaliser un audit auprès du sous-traitant ultérieur,
- la répartition des coûts de l’audit entre le sous-traitant et le sous-traitant ultérieur,
- les conséquences en cas de non-conformité relevé à la suite de l’audit (plan de remédiation, mesures correctrices, pénalités, résiliation, etc.).
Modalités de réversibilité
Les garanties suffisantes présentées par les sous-traitants ultérieurs doivent également être vérifiées au regard des modalités de réversibilité des services.
L’article 28-3 g) du RGPD prévoit l’obligation pour le sous-traitant et/ou sous-traitant ultérieur de supprimer ou de restituer les données à caractère personnel, selon le choix du responsable de traitement. Le format des données restitués, les modalités de la restitution et de la suppression ainsi que le calendrier peuvent être détaillés.
Indépendamment du RGPD, l’encadrement contractuel de la phase de réversibilité demeure essentiel afin de se prémunir des éventuelles difficultés opérationnelles et des litiges relatifs à l’interprétation du contrat. Mathias Avocats consacre un article dédié à la phase de réversibilité.