Accueil > Dossiers > [ITW] Traitement de données : la sous-traitance à l’ère du RGPD
traitement données sous traitance rgpd

[ITW] Traitement de données : la sous-traitance à l’ère du RGPD

Le traitement de données est une tâche que les entreprises peuvent sous-traiter. Cependant, les relations contractuelles entre responsable de traitement et sous-traitant sont régies par des règles strictes. Dans l’Union européenne, le RGPD a par ailleurs apporté d’importants changements à ces règles. A travers notre interview de Mastaneh DJAZAYERI d’Alpha Conseils Technologies, découvrez tout ce que vous devez savoir sur la sous-traitance du traitement de données à l’ère du RGPD.

interview mastaneh djazayeri

Dans tous les secteurs d’activité, de plus en plus d’entreprises collectent et traitent des données. Les  » data  » peuvent apporter de nombreux avantages. Elles peuvent notamment permettre de mieux comprendre la clientèle et la concurrence, ou encore de repérer les problèmes qui freinent la croissance de l’entreprise.

Cependant, le traitement de données requiert des compétences techniques dont les entreprises ne disposent pas toujours en interne. C’est la raison pour laquelle un grand nombre d’organisations optent pour la sous-traitance. Pour tout savoir sur les relations contractuelles entre responsable de traitement de données et sous-traitant, nous sommes allés interroger Mastaneh DJAZAYERI, Juriste / Compliance R.G.P.D, Docteur en Droit, Déléguée à la Protection des Données, Certifiée Bureau VERITAS chez Alpha Conseils Technologies.

Cliquez ici pour un accompagnement sur le RGPD

Peut-on sous-traiter le traitement de données ?

traitement données sous-traitance

Nous pouvons effectivement répondre à cette question par l’affirmative. Le responsable de traitement peut travailler avec un sous–traitant au même titre qu’un autre responsable de traitement. Dans ce cas, le contrat qui va être conclu avec ces partenaires va produire un effet obligatoire entre les parties.

Cependant, le fait pour un responsable de traitement d’avoir recours à un sous-traitant ne le dispense pas de respecter des règles spécifiques qui pourront être complétées par d’autres textes que nous aborderons ultérieurement.

L’application du RGPD a eu une forte influence sur les relations entre les responsables de traitement (le data controller) et sous – traitant (les data processor). L’article 4.8 du RGPD définit le sous-traitant comme étant la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Cliquez ici pour un accompagnement sur le RGPD

À titre d’exemple, quelles sont les données qu’un responsable de traitement peut faire sous-traiter à son sous-traitant ?

Ce peut être une activité simple, comme la réalisation de certaines opérations comptables, ou plus complexe, comme la gestion de paye des salariés. De même, les prestataires de services informatiques, tels que les fournisseurs d’hébergement, les prestataires de sécurité informatique, interviennent à titre de sous-traitants.

Cela revient à dire qu’à chaque fois qu’une société externalise une partie de ses activités, le prestataire externe intervient comme sous-traitant de cette société du point de vue des données personnelles.

Pour conclure, nous pouvons répondre par l’affirmative à cette question sous réserve d’un certain nombre de critères pour que le prestataire puisse être qualifié de sous-traitant.

Quels sont ces critères ?

À ce titre, le G29 a établi une liste d’indices, non limitative, qui a été reprise pour partie par la CNIL, qui a permis de faciliter la qualification dans chaque cas, cette liste n’étant pas exhaustive :

  • Le degré d’instruction donné par le prestataire au client permettant de déterminer l’autonomie du prestataire dans sa prestation,
  • Le degré de contrôle de l’exécution de la prestation par le client,
  • Le degré d’expertise du prestataire permettant de mesurer sa valeur ajoutée.
  • Enfin, le degré de transparence du responsable pour les personnes concernées sur le recours à prestataire.

Comme indiqué préalablement, il est primordial que la relation entre un responsable de traitement et son sous-traitant soit encadrée juridiquement et respecte un certain nombre de dispositions que nous allons aborder.

Quels sont les éléments importants d’une relation contractuelle entre responsable de traitement et sous-traitant ?

relations contrat

Ainsi qu’il a été précisé préalablement, le sous-traitant doit être une personne juridique distincte du responsable du traitement. Agir pour le compte du responsable revient à exécuter les instructions données par le responsable du traitement au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens.

Il est à mon sens nécessaire de préciser que jusqu’ici, sous l’empire de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard de traitement des données à caractère personnel et à la libre circulation de ces données, seul le responsable du traitement répondait auprès de l’autorité de contrôle des données personnelles des manquements à la règlementation.

Le sous–traitant était à l’abri des sanctions infligées par les autorités de contrôle. Ce qui n’est plus le cas avec le RGPD qui institue une chaîne de responsabilité entre le responsable de traitement et son sous-traitant.

Le règlement tend en effet à rééquilibrer la relation entre les deux opérateurs en mettant des obligations directement à la charge des sous-traitants et en renforçant leurs obligations contractuelles. Ce qui nécessite dès lors de bien cadrer les relations contractuelles les liant afin de limiter la responsabilité de chacun d’une part, mais également dans la prise en charge du montant de la sanction qui pourra être éventuellement prononcé par l’autorité de contrôle.

Par conséquent, deux éléments primordiaux devront régir les relations contractuelles entre un responsable de traitement et son sous-traitant :

Cliquez ici pour un accompagnement sur le RGPD

Le choix du sous–traitant

Aux termes du règlement, le responsable du traitement ne peut faire appel qu’ « à des sous – traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » tel que défini au sens de l’article 28 du RGPD.

Ce qui revient à dire que le responsable de traitement devra veiller à vérifier les qualités de son sous-traitant, s’assurer aussi qu’il est capable de prendre les mesures nécessaires à la protection de la personne concernée.

Il ne doit pas garantie au sens juridique du terme, mais sa responsabilité pourrait probablement être engagée par une personne concernée en cas de violation de ses droits par le sous-traitant s’il apparaît que le responsable a été négligent dans son choix, qu’il ne s’est pas assuré que son sous-traitant était à même, selon les règles de l’art, de répondre à toutes les exigences nécessaires en vue de la conformité du traitement à la loi.

Il est extrêmement important que le responsable de traitement veille à ce que son sous-traitant soit régi par un code de conduite qui soit approuvé ou d’un mécanisme de certification approuvé qui puissent démontrer l’existence de garanties suffisantes conformément aux dispositions de l’article 28.5 du RGPD ainsi qu’à ses paragraphes 1 et 4.

Comme il vient d’être indiqué, un des éléments importants dans cette relation contractuelle est le choix et les critères ainsi que les garanties qu’offre un sous–traitant.

Le second élément qui est primordial dans la relation entre les parties consiste bien évidemment dans les dispositions contractuelles qui vont régir les relations de ces derniers.

Cliquez ici pour un accompagnement sur le RGPD

Les dispositions contractuelles régissant leurs relations

Nous avons vu que le premier élément préalable de la relation contractuelle entre les deux parties consistait tout d’abord dans le choix par le responsable de traitement de son sous-traitant et les garanties que celui-ci pouvait lui offrir.

Le second élément qui est primordial est le contenu des dispositions contractuelles régissant les relations des parties que nous allons aborder.

Cette relation doit être scellée par un contrat écrit soit sur support papier ou encore sous forme électronique. Ledit contrat devra nécessairement préciser que le sous–traitant :

  • Ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts des données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il n’y soit tenu d’y procéder en vertu du droit de l’Union européenne ou du droit de l’état membre auquel le sous–traitant est soumis.Dans cette hypothèse, le sous-traitant devra informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
  • Veiller à ce que ces personnes autorisées à traiter les données à caractère personnel (salariés, consultants, entre autres) s’engagent à respecter une stricte confidentialité ou bien soient soumises à une obligation légale appropriée de confidentialité.
  • Prendre toutes les mesures de sécurité requises en vertu de l’article 32 du RGPD.
  • Respecter certaines conditions lorsqu’il entend recruter un autre sous–traitant et ces conditions doivent clairement être spécifiées au contrat notamment au travers de l’obtention de l’accord express du responsable du traitement et le sous–traitant de second rang devra bien évidemment présenter les mêmes gages de garantie que le sous–traitant de premier rang.
  • Apporter son aide au responsable du traitement par tous moyens à s’acquitter de son obligation de donner suite aux demandes des personnes concernées.
  • Il doit aider le responsable du traitement quant à la sécurité des données, notification en cas de violation des données et analyse d’impact relative à la protection des données compte tenu de la nature du traitement et des informations à la disposition du traitement. Ces obligations étant prévues dans les articles 32 à 36 du RGPD.
  • Il doit être prévu qu’à la fin de sa mission, le sous-traitant devra supprimer toutes les données à caractère personnel mises à sa disposition par le responsable de traitement ou bien les lui renvoyer après avoir détruit les copies existantes. Il est vivement recommandé de faire signer une décharge en ce cas pour plus de sécurité juridique.
  • Enfin, le sous–traitant devra mettre à la disposition du responsable du traitement, et ce de manière permanente toutes les informations pertinentes et nécessaires pour lui démontrer qu’il respecte parfaitement toutes les obligations qui lui sont imparties. De même, il devra rédiger de bonne foi des audits tels que demandés par le responsable de traitement. Il devra nécessairement agir de manière proactive et tenir informé le responsable de traitement s’il estime que l’une de ses instructions constitue une violation du règlement ou encore d’autres dispositions du droit de l’Union ou de droit des Etats membres relatives à la protection des données.

Voici quelques dispositions contractuelles qui nous apparaissaient importantes d’aborder dans le cadre des relations devant régir les relations entre un responsable de traitement avec son sous-traitant. De même, les contrats en cours, c’est-à-dire les contrats qui auront été conclus avant la mise en vigueur du RGPD au 25 mai dernier, devront être revus et rendus compatibles avec ces dispositions.

Enfin, nous pouvons illustrer notre propos par une décision de la CNIL en date du 18 juillet 2017 à l’encontre de la société HERTZ France où cette dernière a été condamnée à une sanction pécuniaire de 40.000€ en ce qui concerne un manquement de sécurité et non d’une atteinte aux données personnelles.

Cette atteinte avait un caractère non-intentionnel, mais accidentel. Il s’agissait d’une erreur de programmation lors d’une programmation de maintenance « suppression accidentelle d’une ligne de code lors d’un changement de serveur ». Il sera très intéressant de voir quelles vont être les futures décisions en cette matière.

Cliquez ici pour un accompagnement sur le RGPD

Quelles sont les clauses contractuelles types ?

contrat clauses type bcr

Les clauses contractuelles types sont les clauses qui régissent les transferts entre les responsables de traitements ou les responsables de traitements et les sous – traitants. La nouveauté avec le RGPD, c’est que ces clauses ne font plus l’objet de démarches auprès de la CNIL.

Ces clauses sont évoquées à l’article 46-2 c-d : « Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par :

c) des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2 ;

d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2 ;»

Ces clauses peuvent donc être adoptées par la Commission ou encore par une autorité de contrôle. Elles peuvent être reprises dans les contrats. Ainsi, la Commission a pris une décision le 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous – traitants établis dans des pays tiers en vertu de la Directive 95/46/CE du Parlement Européen et du Conseil.

La CNIL a proposé des clauses contractuelles de sous–traitance : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

Il sera intéressant de suivre les évolutions et préconisations des institutions dans le temps.

Cliquez ici pour un accompagnement sur le RGPD

Pouvez-vous nous en dire plus sur les BCR ?

Les règles d’entreprise contraignantes ou BCR BINDING CORPORATE RULES sont régies par l’article 47 du RGPD. Elles sont définies par le RGPD comme étant : « Les règles internes relatives à la protection des données à caractère personnel qu’applique un responsable de traitement ou un sous–traitant établi sur le territoire d’un état membre pour des transferts ou un ensemble de transferts de données à caractère personnel à un responsable de traitement ou un sous – traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe ; »

Ce sont donc des règles internes qui régissent entre autres les transferts de données à caractère personnel vers les pays tiers à l’Union européenne au sein d’un groupe d’entreprises. Les BCR peuvent être également qualifiées de code de conduite qui définit la politique en matière de transferts de données pour chaque entité du groupe et pour les employés (Article 47-1 a).

Aux termes de cet article : « L’autorité de contrôle compétente approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l’article 63, à condition que :

a) ces règles soient juridiquement contraignantes, et soient mises en application par toutes les entités concernées du groupe d’entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe, y compris leurs employés ;

b) elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel ; et c) elles répondent aux exigences prévues au paragraphe 2. »

Les BCR peuvent être utilisées pour un ensemble d’entreprises qui participent à une activité économique conjointe et pas liée à une même tête de groupe. Les BCR peuvent être adoptées par l’Autorité de contrôle chef de file pour encadrer des transferts effectués par un groupe en tant que responsable de traitement ou sous – traitant. Pour les Multinationales dont certaines filiales n’auraient pas le niveau adéquat en matière de données personnelles, les BCR sont une bonne solution.

Les BCR garantissent les principes généraux :

  • Limitation des finalités,
  • Minimisation dans la collecte des données,
  • Mise en place des mesures de sécurités appropriées techniques et organisationnelles, Garantie des droits des personnes concernées, Définition et mise en place d’audits, Garantie la constante communication avec l’Autorité de contrôle chef de file,
  • La formation sur la protection des données personnelles dans toutes les entités couvertes par les BCR.

Quels sont les avantages et les inconvénients des BCR ?

Les BCR constituent un contrat entre deux parties et doivent donc être signées par toutes les entités juridiques qui adhèrent totalement ou partiellement pour qu’elles soient applicables. Un registre associé au registre des traitements devra être tenu, pour identifier les Entités d’un groupe adhérentes et leur niveau d’adhésion (Accountability).

Il m’apparait judicieux d’illustrer cette définition de quelques exemples concrets.

La CNIL a autorisé de nombreux transferts à la suite d’adoptions de telles règles (BCR) (Délibérations CNIL n°2015-137 en date du 7 mai 2015, JORF n°0138, 17 juin ; délibération CNIL n°2016-038, 18 février 2016, JORF n°0048 26 février 2016.

Il est fortement conseillé aux responsables de traitements et sous-traitants de les consulter à titre d’information et de support.

Enfin, le G29 avait publié en son temps des informations sur les règles à respecter dans le cadre de ces règles d’entreprise contraignantes. Pour conclure, le 6 février 2018, donc très récemment, le G29 a adopté le « working document on binding corporate rules for processors » qui illustre l’intérêt de ces règles.

Pour profiter d’un accompagnement dans la mise en conformité RGPD de votre entreprise, vous pouvez contacter Mastaneh Djazayeri de Alpha Conseils Technologie à l’adresse mail servicejuridique@alphaconseils.com.

Cliquez ici pour un accompagnement sur le RGPD

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Send this to a friend