Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les Commentaires de l’ AFCDP au deuxième Baromètre RGPD : Les sous-traitants dans la même barque que leur donneurs d’ordre

mai 2018 par Bruno Rasle, Délégué général de l’AFCDP

Le RGPD consacre un long article (le 28) et un considérant (le 81) au sous-traitant. Les dispositions de la directive 95/46/CE y sont reprises et amplifiées. Le RGPD commence par rappeler que «  le responsable de traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes  » de manière à ce que la prestation qui leur est confiée respecte le règlement et assure la protection des données personnelles.

Suit une liste de prescriptions qui encadre la sous-traitance de façon beaucoup plus précise que la loi Informatique et Libertés actuelle, notamment en rappelant les sujets sur lesquels le prestataire doit apporter son aide à son client (pour réaliser les analyses d’impacts, pour notifier les violations de données, pour répondre aux demandes de droits des personnes concernées, etc.). L’article 30.2 oblige les sous-traitants à tenir un registre des opérations de traitements qu’ils réalisent pour le compte de leurs clients. Il faut noter que ce document est destiné à la CNIL, pas aux clients.

Rappelons qu’au titre de l’article 37, certains sous-traitants sont également dans l’obligation de désigner un Délégué à la protection des données.
Dès la parution du règlement, fin avril 2016, des entreprises pionnières ont intégré de nouvelles clauses dans les contrats passés avec leurs sous-traitants, pour éviter d’avoir à négocier des avenants par la suite, notamment pour s’assurer que les prestataires leur signalent bien — et avec la rapidité adéquate — les incidents de sécurité ayant affecté les données personnelles confiées afin de pouvoir notifier les éventuelles violations de données à la CNIL. Il est probable que les 25,7 % de répondants qui ont déjà pris les devants bénéficiaient de l’expertise d’un CIL, précurseur du Délégué à la protection des données. Les autres entreprises peuvent désormais s’appuyer sur les «  clauses sous-traitants  » publiées par la CNIL.

Avec le RGPD, d’irresponsables (au sens où ils ne pouvaient pas se voir sanctionnés par la CNIL), les sous-traitants deviennent responsables de leurs non-conformités commises sur les traitements qu’ils mettent en œuvre pour compte de tiers. Mais qu’on ne s’y trompe pas. La création de cette responsabilité du sous-traitant ne peut pas se traduire par un «  défaussement  » des clients sur leurs prestataires. Un donneur d’ordre, s’il est lui-même en non-conformité avec le règlement, ne peut espérer que la foudre tombe sur son sous-traitant, même s’il a truffé le contrat de clauses draconiennes...

La grande nouveauté, c’est surtout que la commission restreinte de la CNIL — celle qui inflige les sanctions — va pouvoir «  ventiler  » ses décisions là où, précédemment, elle ne pouvait s’en prendre qu’au responsable de traitement, même si les constatations faites lors des investigations avaient montré que le sous-traitant était le principal fautif.

À titre d’exemple, si un défaut de sécurité avec non-respect de l’état de l’art est relevé chez un sous-traitant, malgré les engagements pris contractuellement et quelques audits, c’est sur cet acteur que devrait peser désormais une partie de la sanction.

On se souvient de l’avertissement que la CNIL a infligé à ce responsable de traitement par sa délibération n° 2014-298 du 7 août 2014, décision confirmée le 30 décembre 2015 par le Conseil d’État : alors que l’entreprise avait visiblement inséré les clauses pertinentes dans son contrat, son sous-traitant n’avait visiblement pas pris autant de précautions avec son propre sous-traitant, à l’origine d’un incident de sécurité. La Commission restreinte de la CNIL aurait regretté que la société n’ait pas fait réaliser d’audit de sécurité portant sur le sous-traitant de second niveau. On croit savoir que l’entreprise en question a d’ores et déjà écarté certains de ses anciens sous-traitants, peu convaincue de la réelle capacité à être au rendez-vous du 25 mai 2018.

Plus récemment, en 2016, la formation restreinte de la CNIL a prononcé une sanction d’un montant de 40 000 euros à l’encontre de la société Hertz France, estimant que la société avait manqué à son obligation de sécurité des données. En fait, la violation de données personnelles était la conséquence d’une erreur commise par un prestataire.

Dans ces deux cas, les sous-traitants n’ont pas été inquiétés par la CNIL. Après le 25 mai 2018, en de telles situations, la Commission restreinte pourrait répartir la sanction entre les acteurs concernés, à hauteur de leur responsabilité respective dans la non-conformité constatée.

On comprend dès lors pourquoi la CNIL a cru bon de publier un guide pour sensibiliser les sous-traitants et les accompagner dans la mise en œuvre concrète de leurs obligations.

Lors de sa dernière grande conférence (Université des DPO) qui s’est tenue fin janvier à Paris, l’AFCDP avait proposé de dédramatiser les interactions entre clients et sous-traitant dans une saynète humoristique intitulée «  Les relations entre fournisseur et sous-traitant dans le cadre du RGPD — c’est tout un sketch  !  » dans laquelle Isabelle Cadiau, Data Protection Legal Manager de Sanofi jouait le rôle du client, Nathalie Laneret, Group DPO de Cap Gemini représentait le sous-traitant et Stéphanie Faber, Avocat à la cour (Squire Patton Boggs) incarnait le RGPD, drapée dans les couleurs de l’Europe. Tous les points de tension y étaient mis en scène, et il n’est pas surprenant que, dans son rapport d’information portant observations sur le projet de loi relative à la protection des données personnelles, la Députée LRM Christine Hennion, ait suggéré la création d’une médiation en cas de litige entre responsable de traitement et sous-traitant.

Concernant les labels, le RGPD retient une formulation souple qui permet à tous les schémas de labellisation de coexister, qu’il s’agisse d’un label public délivré au niveau national ou de l’Union européenne, d’un label privé ou délivré par une association – sous réserve que l’organisation de certification privée obtienne un agrément (chaque Etat est laissé libre des modalités de mise sous surveillance de ces organismes). Par contre le règlement n’aborde pas le coût de la certification. Sur ces sujets, il faut signaler les travaux de la chaire «  Valeurs et Politiques des Informations Personnelles  » de Telecom ParisTech, synthétisé dans un ouvrage intitulé «  Signes de Confiance - L’impact des labels sur la gestion des données personnelles  », coordonné par Claire Levallois-Barth.

Rappelons que l’AFCDP a participé à la conception du label «  Gouvernance Informatique et Libertés  » de la CNIL, qu’elle soutient. Dans l’optique de la formalisation d’un référentiel CNIL de certification des Délégués à la protection des données et d’une prochaine consultation publique, l’AFCDP a mis sur pied un groupe de travail animé par l’un de ses Administrateurs, Madame Johanna Carvais-Palut, CIL de Malakoff-Mederic et ancienne responsable des labels à la CNIL. Il est bon de signaler toutefois que, dans son intervention intitulée «  Que faire des normes sur la protection de la vie privée  ?  » qu’il a délivrée fin mars lors de la conférence annuelle du Club ISO 27 001, Matthieu Grall, chef du service de l’expertise technologique de la CNIL, a indiqué en substance que la CNIL n’entendait pas s’investir pour le moment au niveau européen en matière de certifications, «  Les différences de maturité entre les différents pays sont trop importantes pour permettre ne serait-ce qu’une compréhension commune  ». La réserve sur le plan européen n’empêche pas la CNIL d’agir au niveau national pour assurer la promotion de ses labels - sujets sur lequel elle a une avance notable sur ses pairs, hormis l’Allemagne – en attendant une éventuelle initiative de la Commission européen, par un acte délégué ou un acte d’exécution (articles 43-8 et 43-9 du RGPD).


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants