Responsable et sous-traitant : qui engage sa responsabilité ?

Responsable et sous-traitant : qui engage sa responsabilité ?

Veille Juridique n°39 – Septembre 2021

Responsable et sous-traitant : qui engage sa responsabilité ? Nombreux sont les responsables de traitement qui font appel à des sous-traitants, que ce soit en matière de gestion des ressources humaines, de ciblage publicitaire ou encore de sécurité des données.

Le recours à un sous-traitant n’est pas anodin au regard du RGPD, qui précise et renforce les responsabilités respectives des différents acteurs.

Quand parle-t-on de sous-traitance ?

La CNIL mentionne à titre indicatif une série d’organismes :

  • Les prestataires de services informatiques (hébergement, maintenance…), les intégrateurs de logiciels, les sociétés de sécurité́ informatique, les entreprises de service du numérique,
  • Les agences de marketing ou de communication qui traitent des données personnelles pour le compte de clients et
  • Plus généralement, tout organisme (public ou privé) offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme.

Les éditeurs de logiciels ou les fabricants de matériel (badgeuse, matériel biométrique, matériel médical) qui n’ont pas accès et ne traitent pas de données à caractère personnel ne sont pas considérés comme sous-traitants.

Une responsabilité du sous-traitant renforcée par le RGPD

Le règlement européen entend responsabiliser de façon plus équilibrée l’ensemble des acteurs impliqués dans le traitement des données personnelles.

Les sous-traitants, en particulier, voient leur rôle évoluer vers plus de proactivité :  ils ne se contentent plus de suivre les instructions du responsable, mais doivent en vertu de l’article 28 du RGPD les aider dans leur démarche permanente de mise en conformité : analyses d’impact, notification de violation, sécurité́, destruction des données, contribution aux audits.

Qui engage sa responsabilité ? Quels sont les risques pour le responsable de traitement ?

Avant l’entrée en vigueur du RGPD, le responsable de traitement devait rendre compte des actions de son sous-traitant : ce dernier devait présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité des données, mais il incombait au responsable de traitement de veiller au respect de ces obligations : « la circonstance selon laquelle une violation de données ait pu avoir pour origine une erreur commise par un sous-traitant est sans influence sur l’obligation pesant sur le responsable de traitement d’assurer un suivi rigoureux des actions menées par ce dernier », comme l’atteste une délibération de la CNIL du 6 septembre 2018, portant une sanction pécuniaire à l’égard du responsable de traitement.

Même si le RGPD ne décharge pas le responsable de traitement de ses obligations propres, il prévoit une responsabilité accrue du sous-traitant.

Celle-ci a été précisée par la CNIL cette année, dans sa première décision datant de janvier 2021.

Dans une affaire de credential stuffing*, responsable et sous-traitant ont mis plus d’un an à mettre en place l’outil permettant de détecter et bloquer les attaques du site web.

Le responsable a été sanctionné à hauteur de 150 000 euros, et le sous-traitant à hauteur de 75 000 euros.

La CNIL précise que « le responsable de traitement doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant. Mais le sous-traitant doit aussi rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles, et les proposer au responsable de traitement. »

Avant toute chose : établir clairement les rôles et responsabilités dans un contrat

Ce contrat peut être fondé, en tout ou en partie, sur des clauses contractuelles types (CCT).

Depuis 2019, trois autorités européennes de protection des données (danoise, slovène et lituanienne) ont adopté des CCT en matière de sous-traitance sur lesquelles le Comité européen de la protection des données (CEPD) a rendu un avis. Le 4 juin 2021, la Commission européenne a publié, au titre du RGPD et du règlement (UE) 2018/1725, ses clauses contractuelles types (CCT) entre les responsables de traitement et les sous-traitants.

La CNIL propose également dans son guide du sous-traitant des exemples de clauses contractuelles.

Le contrat doit définir :

  • L’objet et la durée de la prestation
  • La nature et la finalité́ du traitement
  • Le type de données à caractère personnel traitées
  • Les catégories de personnes concernées
  • Les obligations et les droits du client en tant que responsable de traitement
  • Les obligations et droits du sous-traitant tels que prévus à l’article 28 du RGPD

Le sous-traitant est notamment tenu des obligations suivantes :

  • Designer un délégué́ à la protection des données, s’il est une autorité́ ou un organisme public, s’il opère un suivi régulier et systématique des personnes à grande échelle ou traite à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
  • Documenter ses activités de sous-traitance, et tenir un registre des traitements
  • Proposer des outils respectueux des données personnelles (par exemple interface d’information des personnes, lien de désinscription)
  • Aider le responsable de traitement à répondre aux demandes d’exercice des droits des personnes
  • Garantir la sécurité des données collectées.

Les questions de sécurité figurent parmi celles qui donnent le plus lieu à violation et à litige. Il est ainsi conseillé au responsable de traitement :

  • D’exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information;
  • D’assurer et de documenter l’effectivité des garanties offertes par le sous-traitant en matière de protection des données.
  • De vérifier l’effectivité des mesures, via par exemple des audits de sécurité ou une visite des installations.

* Le credential stuffing est un type de cyberattaque où des informations de comptes volées consistant généralement en des listes d’identifiants et les mots de passe associés (souvent obtenus de manière frauduleuse) sont utilisés pour obtenir un accès non autorisé à des comptes utilisateurs par le biais de demandes de connexion automatisée à grande échelle adressées à des applications Web.

Et aussi

France :

La fuite de données de l’Assistance Publique-Hôpitaux de Paris (AP-HP) concernant 1,4 million de personnes testées contre la COVID-19 mi-2020 a été notifiée à la CNIL. La Commission et le gouvernement ont publié une note informative à destination des personnes concernées.

L’ANSSI publie des recommandations concernant la sécurité des objets connectés.

Un service de vigilance et de protection contre les ingérences numériques étrangères (Viginum) a été créé par décrêt le 13 juillet dernier. Il a pour mission de détecter et analyser les contenus hostiles à la France sur les plateformes numériques, orchestrées depuis l’étranger.

Une messagerie instantanée est une correspondance privée : par un jugement du 23 juillet, le Conseil de prud’hommes de Meaux a décidé que la société Eurodisney ne pouvait procéder au licenciement d’une employée sur la base d’une conversation sur Messenger à laquelle il n’était pas autorisé à accéder, même si cette messagerie n’était pas protégée par mot de passe.

Europe :

La Commission européenne a annoncé le 15 septembre une initiative législative concernant la cyber-sécurité des objets connectés. Celle-ci viendra compléter la proposition de directive NIS2 concernant la sécurité des réseaux.

Après plus d’un an de négociations, les Etats-Unis et l’Europe ne sont pas encore parvenus à un accord sur les transferts de données transatlantiques. Ces pourparlers visent à résoudre le vide juridique laissé par l’arrêt Schrems II de la Cour européenne de justice annulant le Privacy Shield.

On note toutefois des efforts de coopération, par exemple dans le domaine de l’intelligence artificielle et de la régulation des plateformes diffusant des contenus illégaux en ligne.

C’est ce qui ressort du communiqué inaugural du Conseil EU-US Commerce et technologie du 29 septembre.

Les transferts de données vers un pays hors Union européenne considéré comme ne présentant pas un niveau de protection adéquat doivent depuis le 27 septembre se baser sur la version modernisée des clauses contractuelles types de la Commission européenne, publiées le 4 juin dernier.

Le Contrôleur européen de la protection des données a publié le 24 septembre un avis sur la proposition de la Commission européenne concernant la lutte contre le blanchiment d’argent, dans lequel il met l’accent sur les principes de nécessité et de proportionnalité des données personnelles collectées.

L’autorité belge a publié le 23 septembre un avis concernant l’extension de l’usage du Covid Safe Ticket aux lieux et événements de la vie quotidienne.

Y est rappelée l’obligation de démontrer la nécessité et la proportionnalité de ce « pass sanitaire » et de l’ingérence dans la vie privée qu’elle implique.

L’autorité irlandaise est toujours considérée dans le milieu de la protection des données comme le goulot d’étranglement en matière de respect du RGPD.

Notons néanmoins sa communication du 17 septembre, conjointe avec l’autorité italienne, concernant l’impact des fonctions vidéo et photo des lunettes Facebook en matière de vie privée.

Dans le même temps, l’autorité norvégienne a annoncé sa décision de ne plus utiliser Facebook pour ses communications, à la suite d’une analyse d’impact en matière de protection des données.

Le ministère de la Défense de Lituanie a quant à lui recommandé dans une communication du 21 septembre de ne pas utiliser les téléphones chinois tels Xiaomi Corp qui intègrent un logiciel de détection et de censure de certains messages.

International :

Le premier G7 des autorités de protection des données a rassemblé les 7 et 8 septembre les autorités française, italienne, canadienne, britannique, allemande, japonaise et des Etats-Unis, sous la présidence du Royaume-Uni.

Les autorités ont échangé sur les enjeux internationaux de la protection des données, dont les flux transfrontières de données, les questions liées à la pandémie et au développement de l’intelligence artificielle.

L’Uruguay, considéré par l’Union européenne comme un pays garantissant un niveau de protection adéquat des données personnelles, a mis à jour sa propre évaluation des pays vers lesquels un transfert de données est légalement possible.

Cette évaluation exclut les Etats-Unis des pays présentant un niveau de protection adéquat.

Les transferts de données entre l’Uruguay et les Etats-Unis devront dorénavant fournir des garanties spécifiques, telles que le respect de clauses contractuelles appropriées.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.