Sous-traitance et protection des données personnelles : où en est-on ? 

Le Règlement Général sur la Protection des Données, plus connu sous l’acronyme RGPD, a pour but de donner un cadre unifié au traitement de données à caractère personnel et renforce les obligations des entreprises amenées à traiter des données au sein de l’Union Européenne en la matière.

Ces obligations de protection sont également étendues aux sous-traitants, lesquels sont définis comme les personnes, physiques ou morales, amenées à traiter des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement.

La notion de sous-traitant au sens du RGPD est en pratique très large au regard de l’étendue des activités visées (prestataires informatiques, marketing, ressources humaines, comptabilité …). 

Si la mise en œuvre de ces mesures, au cours de l’année 2018, a pu sembler relativement théorique pour la plupart des acteurs économiques, le renforcement des contrôles en la matière doit appeler à la prudence dans les relations de sous-traitance et à la mise en conformité des systèmes de traitement des données personnelles.

En effet, par une décision du 27 janvier 2021, la CNIL a sanctionné une entreprise et son sous-traitant respectivement à hauteur de 150.000 euros et 75.000 euros pour ne pas avoir pris de mesures suffisantes pour préserver la protection des données des utilisateurs suite à une attaque sur un site web (commentaire de la décision disponible ici.)

C’est l’occasion de faire un rappel des points essentiels à respecter par le sous-traitant en matière de protection des données à caractère personnel.

1°/ Sur l’obligation de contractualisation entre le responsable de traitement et le sous-traitant

Le traitement des données à caractère personnel par un sous-traitant doit être clairement délimité dans le cadre d’un contrat conclu entre ce dernier et le responsable de traitement.

A cet égard, les parties doivent contractualiser leurs obligations respectives afin de délimiter précisément les actions que le sous-traitant sera amené à faire lors du traitement des données à caractère personnel.

Ledit contrat devra nécessairement être écrit et définir de façon exhaustive l’objet, la durée, la nature ainsi que la finalité du traitement des données. Le type de données à caractère personnel ainsi que les catégories de personnes concernées seront également à mentionner au sein du contrat liant le responsable de traitement et le sous-traitant. 

2°/ Sur les obligations du sous-traitant en matière de protection des données personnelles

A l’instar du responsable de traitement, le sous-traitant devra lui aussi respecter des obligations afin d’assurer la protection des données personnelles auxquelles il aura accès lors de sa prestation de service. En pratique, le sous-traitant est soumis aux mêmes obligations que le responsable de traitement, auquel il est d’ailleurs assimilé. 

Ainsi, le sous-traitant a l’obligation :

  • de se conformer aux instructions du responsable de traitement ;
  • de respecter la confidentialité ;
  • de détailler avec précision les mesures de sécurité à mettre en œuvre. Ainsi et conformément à l’article 32 du RGPD, le sous-traitant aura pour obligation de préserver la sécurité des données personnelles de ses clients. Ce faisant, il doit chercher des solutions techniques et organisationnelles les plus appropriées afin d’assurer la sécurité desdits données. 
  • d’informer le responsable de traitement si une instruction reçue par ce dernier constitue une violation du RGPD ;
  • d’assurer à son client (le responsable de traitement) que les données qui lui sont confiées sont en sécurité et que l’ensemble des personnes qui seront amenées à les traiter sont soumises à une obligation de confidentialité ;
  • de tenir à jour un registre des activités de traitement effectuées pour le compte de son client.

Il est à noter qu’au terme de la prestation de services, le sous-traitant s’engage à restituer (au responsable de traitement) ou supprimer l’ensemble des données à caractère personnel qui sont en sa possession.

Attention également, le sous-traitant qui souhaite lui-même, dans le cadre de la prestation de services, sous-traiter devra faire preuve d’une grande vigilance car il devra obtenir au préalable une autorisation écrite du responsable de traitement.

3°/ Sur les sanctions encourues par le sous-traitant en cas de non-respect du RGPD

En règle générale et hormis les rappels à l’ordre prononcés par la CNIL, des sanctions sont prévues en cas de manquement liés à la protection des données personnelles.

En effet, la formation restreinte de la CNIL peut prononcer des amendes administratives à l’égard des entreprises qui ne respecteraient pas la règlementation du RGPD.

A cet égard, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffres d’affaires annuel mondial. 

Des sanctions pénales sont également prévues à l’article 226-17 du Code pénal avec des peines d’emprisonnement pouvant aller jusqu’à 5 ans et des amendes à hauteur de 300.000 euros en cas de traitement de données à caractère personnel en méconnaissance des dispositions du RGPD. 

Il est à noter que la responsabilité du sous-traitant n’avait jamais été engagée avant janvier 2021.

En effet, par une décision largement commentée en date du 27 janvier 2021, la CNIL retient pour la première fois la co-responsabilité du sous-traitant et du responsable de traitement, mettant ainsi en application les dispositions de l’article 32 du RGPD

Ce faisant, le sous-traitant peut voir sa responsabilité engagée au même titre que le responsable de traitement en cas de méconnaissance des dispositions du RGPD. La solution est logique dans la mesure où le sous-traitant est assimilé au responsable de traitement des données. 

Dans le cadre de l’affaire ci-avant mentionnée, la CNIL considérait ainsi qu’il appartenait également au sous-traitant de rechercher les solutions techniques et organisationnelle les plus appropriées afin d’assurer la sécurité des données et de les proposer au responsable de traitement, et ce immédiatement.

Les intéressés avaient en effet tardé à mettre en place des mesures palliatives qui auraient pu, dans l’attente de la sécurisation de fond du site internet, limiter le risque de fuite de données personnelles. 

Il est à noter que la CNIL a ainsi prononcé deux amendes administratives, l’une d’un montant de 150.000 euros à l’encontre du responsable de traitement et l’autre d’un montant de 75.000 euros à l’encontre du sous-traitant. 

Il est par conséquent impératif, tant pour les donneurs d’ordre que leurs sous-traitants, d’auditer et d’assurer la conformité des contrats et des dispositifs de traitement des données en place afin de prévenir toute difficulté. 

Le cabinet EVERGREEN est en mesure de vous assister dans la rédaction de vos contrats et dans la mise en place d’une procédure fiable et sécurisé du traitement des données à caractère personnel conformément aux dispositions du Règlement Général sur la Protection des Données (RGPD). 

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s