L’impact du Règlement (UE) 2016/679 (RGPD) sur les sous-traitants
Le CNIL a publié, le 29 septembre 2017, un « Guide du sous-traitant » visant à clarifier l’incidence, pour les sous-traitants, de l’adoption du RGPD. Ceux-ci sont en effet profondément impactés par l’adoption du nouveau dispositif de protection des données,qui les fait entrer dans le champ d’application de la réglementation quand la Directive 95/46/CE ne s’appliquait qu’aux responsables de traitement.
Le sous-traitant est défini comme la personne qui opère un traitement de données personnelles pour le compte, sur instructions et sous l’autorité d’un responsable de traitement. Au contraire du responsable de traitement, il ne détermine pas les finalités et moyens du traitement.
La qualité de sous-traitant s’apprécie,à l’aune de l’avis 1/2010 du G29, au cas par cas, par application du faisceau d’indices suivant :
- Le niveau d’instruction donné par le client pour la réalisation de la prestation ;
-  Le degré de contrôle de l’exécution du client sur la prestation ;
- La valeur ajoutée fournie par le prestataire;
- Le degré de transparence sur le recours à un prestataire.
En cas de non-respect de ses obligations, le sous-traitant peut être tenu responsable du dommage matériel ou moral causé et faire l’objet de sanctions administratives pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, et dans le cas d’une entreprise, jusqu’à 2 ou 4% du chiffre d’affaire annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.
Le sous-traitant est soumis à quatre obligations principales imposant la mise en place de mesures concrètes afin que le traitement réponde aux exigences du règlement et garantisse la protection des données traitées :
Obligation de transparence et traçabilité
Le sous-traitant et son client sont tenus d’établir un contrat ou un autre acte juridique précisant les obligations des parties et reprenant les dispositions de l’article 28 du règlement. Le sous-traitant doit également recenser toutes les instructions du client concernant le traitement des données personnelles, obtenir son autorisation écrite pour faire appel à un autre sous-traitant, lui fournir toutes informations nécessaires pour démontrer le respect de ses obligations et tenir un registre recensant les clients et décrivant les traitements effectués pour leur compte.
Principes de protection des données dès la conception de la prestation et de protection des données par défaut
Le sous-traitant doit s’assurer que ses outils, produits, applications et services offrent les garanties nécessaires et sont donc, conçus conformément aux principes de protection des données personnelles et paramétrés par défaut de façon à ce que seules soient traitées les données nécessaires à la finalité du traitement en terme de quantité de données collectées, d’étendue de leur traitement,de durée de conservation et du nombre de personne susceptibles d’y avoir accès.
Obligation de garantir la sécurité du traitement
Le sous-traitant doit soumettre ses employés à une obligation de confidentialité, notifier le client, dans les meilleurs délais, en cas de violation de données, garantir un niveau de sécurité adapté aux risques en prenant toute mesure nécessaire et détruire ou renvoyer au client les données et copies à la fin de la prestation.
Obligation d’assistance, d’alerte et de conseil du client
Le sous-traitant est tenu d’informer le client lorsqu’il reçoit une instruction qui lui semble susceptible de constituer une violation des règles en matière de données personnelles. Il lui incombe également d’assister le client lorsqu’une personne exerce ses droits d’accès, de modification, son droit à la portabilité ou à l’oubli, et plus généralement tous droits garantis aux personnes concernées par le traitement du client. Il doit enfin assister le client en vue de s’assurer du respect des obligations en matière de sécurité,de notification de violation de données et d’analyse d’impact.
En pratique, le sous-traitant devra donc réaliser un nombre conséquent de vérifications avant la prise d’effet du règlement,le 25 mai 2018.
• La première étape de mise en conformité consiste sans doute dans l’obligation dans laquelle le sous-traitant se trouve de désigner un délégué à la protection des données.
Cette obligation ne pèse effectivement pas sur le seul responsable de traitement.
- Le sous-traitant doit également entreprendre de réviser les contrats en cours pour le 25 mai 2018 de sorte que ceux-ci prévoient expressément l’objet et la durée de la prestation,la nature et la finalité du traitement, le type de données à caractère personnel traitées, les catégories de personnes concernées, les obligations et droits du client en tant que responsable de traitement ainsi que les obligations et droits du sous-traitant.
- Le sous-traitant doit créer et tenir à jour un registre des catégories d’activités de traitement.
- Dans le cadre des contrats le liant à ses clients, le sous-traitant doit mettre en oeuvre des procédures lui permettant de les assister dans leur obligation de réaliser une analyse d’impact en leur fournissant toutes les informations nécessaires.
Auteur
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.