Conformité du sous-traitant au RGPD : 8 obligations à respecter
Qu’une entité soit fournisseur de logiciel SaaS, éditeur d’application web, intégrateur, prestataire de service numérique et informatique ou qu’elle ait recours à de tels services, il y a fort à parier qu’elle sera soumise au futur Règlement Général sur la Protection des Données qui entrera en application le 25 mai 2018 (dit RGPD ou GDPR dans son acronyme anglais) et qu’elle sera confrontée à des problématiques de sous-traitance de données à caractère personnel.
Il s’agira donc, pour le sous-traitant de mettre son activité en conformité avec les nouvelles obligations du RGPD qui seront bientôt à sa charge pour ne pas prendre le risque de se voir sanctionner par les autorités de contrôle. Mais pour ce faire, encore faut-il savoir quelles sont-elles.
SOMMAIRE :
Opération préalable : Identifier les relations de sous-traitance
La mise en conformité au RGPD impose de devoir précisément identifier les relations de sous-traitance de données à caractère personnel et de qualifier les acteurs en fonction du rôle de chacun, responsable de traitement ou sous-traitant.
Cette opération est cruciale, car c’est elle qui va déterminer les obligations qu’une entité va devoir respecter.
Le sous-traitant est toute personne qui traite des données à caractère personnel pour le compte d’une autre entité, le responsable de traitement.
Le sous-traitant se différencie de ce dernier en ce qu’il ne définit ni la finalité du traitement (ce pour quoi les données sont traitées) ni les moyens essentiels du traitement (les procédés par lesquels les données seront principalement traitées).
Cette distinction s’opérant traitement de données par traitement de données, il est envisageable qu’une même entité, dans sa relation avec un partenaire commercial et en cas de pluralité de traitements, puisse être responsable de traitement pour un traitement, mais sous-traitant pour un autre.
Avec une telle définition, il convient de relever que la notion de sous-traitant au sens du droit des données à caractère personnel est un faux-ami de la notion de sous-traitant au sens usuel ou commercial.
C’est ainsi qu’un sous-traitant au sens commercial du terme peut très bien être responsable de traitement au sens du droit des données et inversement.
Il est donc nécessaire d’être particulièrement vigilant sur cet aspect et d’aborder cette étape de la mise en conformité avec un regard dénué d’a priori.
Une fois qu’une entité a clairement identifié pour quel traitement elle est sous-traitante de données à caractère personnel, celle-ci va devoir principalement et notamment respecter 8 obligations.
Obligation n°1 : respecter la forme des contrats de sous-traitance
Le RGPD impose que les relations entre responsable de traitement et sous-traitant de données soient strictement encadrées et formalisées dans un contrat écrit.
Ce contrat doit contenir un certain nombre de mentions et de clauses obligatoires parmi lesquelles on compte une clause autorisant le responsable de traitement à auditer la manière avec laquelle le sous-traitant traite les données pour son compte ou encore une clause organisant l’accès du personnel du sous-traitant aux données.
Il convient donc pour le sous-traitant et afin de se conformer à ces nouvelles règles, de mettre à jour dès à présent tant ses contrats existants que ses modèles de contrats pour l’avenir.
Obligation n°2 : choisir ses sous-traitants
Le sous-traitant est tenu, au titre du RGPD, de ne recruter lui-même un autre sous-traitant que sur autorisation écrite et préalable du responsable de traitement.
Cette autorisation peut-être spécifique, pour un sous-traitant de second niveau particulier, ou générale, pour tout sous-traitant de second niveau que le sous-traitant pourrait déjà avoir ou recruter à l’avenir.
Dans de telles hypothèses, le contrat entre le sous-traitant et le sous-traitant de second niveau devra impérativement prévoir au moins le même niveau de garantie de protection des données que celui conclu entre le responsable de traitement et le sous-traitant.
Là encore, la mise en conformité d’une entité sous-traitante de données à caractère personnel passera par une révision des contrats existants avec ses partenaires et la mise à jour des modèles contractuels pour l’avenir.
Obligation n°3 : respecter les instructions du responsable de traitement
Le RGPD laisse très peu de marge de manœuvre à l’entité traitant des données à caractère personnel pour le compte d’un responsable de traitement.
C’est ainsi que le sous-traitant ne pourra mettre en œuvre un traitement que dans la mesure où il respecte les instructions qui lui sont données par le responsable de traitement.
Ces instructions peuvent être précisées dans le contrat initialement conclu entre le sous-traitant et le responsable de traitement ou être ultérieurement données par le responsable de traitement.
Cette obligation ne veut cependant pas dire que le sous-traitant devra rester passif dans sa relation au responsable de traitement.
Il est en effet tenu d’informer immédiatement le responsable de traitement s’il estime qu’une instruction qu’il a reçue est contraire au RGPD ou plus généralement au droit de l’Union Européenne ou à son droit national.
Obligation n°4 : tenir un registre de traitement
Pour les sous-traitants employant plus de 250 personnes, ceux mettant en œuvre régulièrement des traitements particulièrement risqués ou ceux qui traitent des données sensibles (données de santé, données en lien avec les condamnations pénales, etc.), le RGPD impose qu’ils tiennent un registre de leurs activités de traitement.
Ce registre a pour but de permettre aux autorités de contrôle, la CNIL pour la France, de faciliter ses audits. Il doit ainsi contenir toutes les informations essentielles pour avoir une vision d’ensemble de la manière avec laquelle les données sont traitées chez un sous-traitant : pour le compte de qui des données sont traitées, quelles sont les mesures de sécurité mises en place, quels types de traitements sont mis en œuvre, etc.
Il s’agit là d’une étape importante de la mise en conformité, car elle nécessite parfois de mener un véritable travail d’enquête interne.
Obligation n°5 : maintenir un niveau de sécurité proportionné
Le défaut de sécurité des traitements de données à caractère personnel mis en œuvre par le sous-traitant pour le compte d’un responsable de traitement est l’un des motifs fréquents de sanction par la CNIL.
C’est pour cela qu’il faut être particulièrement diligent sur ces questions et bien veiller à ce que les mesures mises en œuvre par le sous-traitant pour prévenir les violations de données soient appropriées, comme l’impose le RGPD.
Plusieurs critères sont utilisés pour déterminer le caractère adapté de ces mesures. Il s’agit principalement de prendre en compte le niveau de risque généré par le traitement pour les personnes dont les données sont traitées.
Cependant, et on s’en réjouira, le respect des obligations de sécurité au titre du RGPD n’impose pas non plus au sous-traitant de dépenser tout son budget annuel dans la sécurité.
Le niveau d’exigence qui sera attendu dépendra ainsi des ressources du sous-traitant, qu’elles soient humaines, matérielles ou techniques.
La mise en conformité du sous-traitant en matière de sécurité des données impose donc de s’assurer qu’il fait au mieux étant donné ce qu’il a. Cela nécessite de procéder à un audit de sécurité pour identifier les failles potentielles et d’apporter les corrections nécessaires pour les pallier.
Si les ressources de l’entité le permettent, le recours à un prestataire spécialisé en cybersécurité est recommandé.
Obligation n°6 : informer le responsable de traitement en cas de violations de données personnelles
En cybersécurité, il est d’usage de dire qu’il ne s’agit pas tant de savoir si une entité sera victime d’une violation de données, mais plutôt de savoir quand elle le sera.
Une violation de données peut en effet revêtir de nombreuses formes comme la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux données.
Il y a donc fort à parier, malheureusement, qu’un sous-traitant en données à caractère personnel connaîtra une violation de ses données au moins une fois dans son existence.
Le RGPD fait peser la grande majorité des obligations ayant trait aux violations de données à caractère personnel sur les épaules du responsable de traitement.
Le sous-traitant quant à lui est seulement tenu à deux obligations : d’une part celle de notifier, dans les meilleurs délais, le responsable de traitement s’il est victime d’une violation des données qu’il traite pour son compte et d’autre part celle de coopérer avec le responsable de traitement dès que ce dernier lui en fait la demande.
Dans le cadre du projet de mise en conformité du sous-traitant, il est ainsi utile de définir à l’avance les procédures à suivre en cas de violation de données et ce afin de s’assurer que les informations circulent rapidement et d’avoir une meilleure réactivité face à l’urgence de ces situations.
Obligation n°7 : désigner un Délégué à la Protection des Données (DPO)
Lorsque les activités d’un sous-traitant impliquent qu’il traite une grande quantité de données à caractère personnel ou des données particulièrement sensibles, le RGPD impose qu’il désigne une personne pour s’occuper de toutes ses problématiques liées à la protection des données : le Délégué à la Protection des Données (ou Data Protection Officer en sa version anglaise qui est plus communément utilisée) qui devra faire directement rapport au niveau le plus élevé de la direction du sous-traitant.
Pour ce faire, le RGPD laisse une certaine latitude au sous-traitant dans la désignation de son DPO. Il peut ainsi s’agir d’un membre du personnel du sous-traitant ou d’un prestataire de service s’il est choisi d’externaliser la fonction de DPO.
Il est également possible pour plusieurs entités, qu’elles soient sous-traitantes ou responsables de traitement, de mutualiser leurs ressources en désignant un DPO commun.
Une fois le DPO désigné, le sous-traitant, dans sa relation avec lui, devra s’assurer qu’il puisse avoir les moyens d’exercer ses fonctions, autrement dit qu’il soit systématiquement associé aux questions ayant trait à la protection des données, qu’il dispose de ressources suffisantes, ou encore qu’il puisse opérer en toute indépendance.
La désignation du DP0 constitue donc une étape importante pour le respect de la règlementation en matière de protection des données dans la mesure où c’est lui qui, dans un premier temps, va piloter le projet de mise en conformité du sous-traitant, puis dans un second temps, assurer le maintien de cette conformité.
Obligation n°8 : s’assurer de la licéité des transferts de données vers des pays tiers
De nombreuses activités de l’industrie du numérique nécessitent que des données à caractère personnel soient transférées d’un pays à l’autre, que ce soit entre des entités appartenant à un même groupe de sociétés ou dans le cadre de prestations de services.
Sur cet aspect, le RGPD impose d’être particulièrement scrupuleux concernant les conditions dans lesquelles ces transferts s’opèrent.
Un sous-traitant ne pourra transférer de données à l’étranger que dans certaines hypothèses limitées.
C’est ainsi qu’un sous-traitant ne pourra transférer de données à l’étranger que dans certaines hypothèses limitées : si le destinataire des données se trouve dans l’Union Européenne ou dans un pays dont la Commission Européenne a estimé qu’il apportait un niveau suffisant de protection des données, si l’entité destinatrice des données présente personnellement un certain nombre de garanties (notamment par l’adoption de règles d’entreprises contraignantes, l’adhésion à un code de conduite homologué par les autorités compétentes ou une organisation contractuelle adéquate du transfert).
La mise en conformité du sous-traitant au RGPD devra donc passer par l’identification des transferts de données qu’il met en œuvre et leur réorganisation s’ils ne tombent pas dans les cas prévus par la règlementation.
Conclusion
La mise en conformité des activités d’un sous-traitant au RGPD n’est pas une mince affaire. Les obligations à respecter sont nombreuses et peuvent parfois nécessiter une réelle expertise.
Mais dès lors que les partenaires commerciaux deviendront de plus en plus exigeants sur le respect de la règlementation en matière de protection des données, il est possible de voir dans la mise en conformité, non pas une corvée, mais une opportunité permettant de gagner un avantage concurrentiel.