L’externalisation de la mise en oeuvre de traitements de données à caractère personnel est fréquente. Dans ce contexte, le sous-traitant a souvent la charge de traitements stratégiques pour une entité et a accès à des données de même valeur.
A la lumière de la définition du sous-traitant, la sous-traitance d’un traitement peut se définir comme la situation dans laquelle « [fusion_builder_container hundred_percent= »yes » overflow= »visible »][fusion_builder_row][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][une] personne physique ou morale, [une] autorité publique, [un] service ou un autre organisme traite des données à caractère personnel pour le compte du responsable du traitement. » (article 4-8 du Règlement Général sur la Protection des Données).
Il est à noter que l’intérêt de la distinction entre la qualification de « responsable du traitement » et de « sous-traitant » porte sur la répartition de la responsabilité de chacun. Comme son nom l’indique, le premier assume la responsabilité du traitement alors que le second ne fait qu’agir pour le compte du premier.
Dans le cadre du Règlement Général sur la Protection des Données (RGPD), il semblerait que l’intérêt de la qualification de « sous-traitant » tende à s’estomper quelque peu. En effet, outre leurs obligations contractuelles, ces prestataires se verront directement imposer des obligations notamment en matière d’accountability et de sécurité des données. Dans ce contexte, ils seront susceptibles d’être sanctionnés par une autorité de contrôle en cas de manquements.
Cet article est donc l’occasion d’attirer l’attention sur quelques points de vigilance à prendre en compte lorsqu’une entité entend confier un traitement de données à caractère personnel à un tiers.
Demander au sous-traitant quelle est sa politique en matière de protection des données à caractère personnel
Compte tenu de l’enjeu de la protection des données à caractère personnel, il appartient au responsable du traitement de choisir son sous-traitant avec précaution.
De ce point de vue, le RGPD renforce l’obligation d’investigation du responsable du traitement. L’article 28 prévoit en effet que « Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.« .
Le RGPD va donc au-delà de ce que prévoit l’article 35 de la loi « Informatique Libertés » qui dispose que le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité.
Dans ce contexte, il appartient au responsable du traitement de s’enquérir des pratiques et des politiques du sous-traitant en matière de protection des données à caractère personnel.
En pratique, ces vérifications peuvent consister à demander la politique de protection des données mise en place par le prestataire ou encore à faire une demande de communication de la liste des traitements que le prestataire a déclaré auprès de la Commission Nationale de L’Informatique et des Libertés sur le fondement de l’article 31 de la loi.
La rédaction des cahiers des charges est également appelée à évoluer afin d’intégrer des exigences en matière de protection des données à caractère personnel afin de distinguer les prestataires offrant des garanties suffisantes et en mesure d’en faire la démonstration de ceux qui prennent peu en compte cette problématique.
Documenter les instructions données au sous-traitant
Tant l’article 35 de la loi du 6 janvier 1978 dite loi « Informatique et Libertés » que l’article 29 du RGPD prévoient qu’un sous-traitant ne peut traiter des données à caractère personnel que sur instruction du responsable de traitement.
Dans ce contexte, le prestataire est tenu d’exécuter les instructions données par le responsable du traitement et de traiter les données conformément à celles-ci. Ainsi, le sous-traitant doit-il respecter, à tout le moins, la finalité pour laquelle les données lui sont confiées et avoir recours aux moyens de traitements définis par le responsable du traitement ou en concertation avec lui.
Encore faut-il que le responsable du traitement documente lesdites instructions. Cette documentation permettra au responsable du traitement d’identifier les cas dans lesquels le sous-traitant a manqué à ses obligations contractuelles. En outre, cette documentation est expressément mise à la charge du responsable du traitement.
S’assurer que le contrat conclu avec le sous-traitant contient des garanties suffisantes
Le responsable du traitement et le sous-traitant doivent être liés par un contrat. Le RGPD exige expressément que celui-ci soit écrit.
En pratique, les parties ne concluent pas de contrat spécifique à la protection des données à caractère personnel. En revanche, le contrat encadrant les prestations fournies par le prestataire, sous-traitant, contient une ou plusieurs stipulations relatives à la protection des données à caractère personnel.
Là encore, le RGPD élève le niveau de protection par rapport à la loi « Informatique et Libertés ». Celle-ci exige que le contrat conclu contienne une clause relative à la sécurité et à la confidentialité des données. Le RGPD fait une liste non exhaustive d’éléments à insérer dans les contrats (encadrement de la sous-traitance ultérieure, coopération avec le responsable de traitement dans la mise en oeuvre des mesures de sécurité ou en core la réalisation de l’analyse d’impact, la mise à disposition d’informations pour que le responsable de traitement puisse procéder à des audits, etc.). Notons toutefois, que les praticiens spécialisés intégraient déjà certaines stipulations aujourd’hui consacrées par les institutions européennes.
En pratique, l’attention du responsable de traitement doit être portée notamment sur les points suivants:
- la documentation des instructions données au sous-traitant notamment en matière de sécurité et de confidentialité des données;
- l’encadrement de la sous-traitance ultérieure d’autant que celle-ci est susceptible d’impliquer des transferts de données à caractère personnel hors de l’Union européenne;
- en cas de sous-traitance ultérieure, l’obtention de garanties quant au respect des obligations légales et contractuelles par les tiers amenés à traiter les données;
- l’encadrement du sort des données à caractère personnel en cas de rupture des relations contractuelles, quelle qu’en soit la cause.
Enfin, il conviendrait que les responsables de traitements soient vigilants quant au plafond de responsabilité qui pourrait s’appliquer en cas de manquement du sous-traitant à ses obligations relatives à la protection des données personnelles.
Mathias Avocats se tient à votre disposition pour vous accompagner dans la rédaction et la négociation de contrats impliquant la sous-traitance de vos traitements de données à caractère personnel.
[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]