Le guide pratique du sous-traitant de données personnelles

Publié le par - 3322 vues

La CNIL a publié un guide pratique, à destination des sous-traitants. En 12 thèmes, elle tente de faire le tour des principales questions. L’initiative est à saluer car elle clarifie une situation très complexe. Pour autant, toutes les questions ne sont pas tranchées. Il reste 10 mois pour mettre à jour la chaîne de contrats des sous-traitants. C’est peu…

Qui est sous-traitant ?

Selon le GDPR, le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

La CNIL donne quelques exemples de sous-traitants : « les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données ».

Inversement, elle précise que ne seraient pas des sous-traitants, « dans la mesure où ils n’ont pas accès et ne traitent pas de données à caractère personnel, les éditeurs de logiciels ou les fabricants de matériels (badgeuse, matériel biométrique, matériel médical). »

Ces exemples sont utiles, mais ne clôturent pas le débat. Prenons un exemple : un éditeur de logiciel qui le commercialise en mode SaaS et propose un hébergement des données en cloud, est-il le sous-traitant de ses clients-abonnés ? Techniquement parlant, il a accès aux données puisque les serveurs lui appartiennent. Pour autant le contrat ne lui permet pas d’accéder aux données ni de les exploiter. Quant aux moyens, c’est lui qui édite le logiciel donc il est en première ligne. Réponse très délicate donc …

Du reste, la CNIL le sait pertinemment bien, et fournit un outil « d’analyse au cas par cas ». En prônant une approche au cas par cas, l’autorité confirme que derrière la simplicité apparente de la règle, il y a une mise en œuvre particulièrement nuancée.

Cette approche au cas par cas invite les personnes à se poser les questions suivantes :

  • niveau d’instruction donné par le client au prestataire : quelle est l’autonomie du prestataire dans la réalisation de sa prestation ?
  • degré de contrôle de l’exécution de la prestation : quel est le degré de « surveillance » du client sur la prestation ?
  • valeur ajoutée fournie par le prestataire : le prestataire dispose-t-il d’une expertise approfondie dans le domaine ?
  • degré de transparence sur le recours à un prestataire : l’identité du prestataire est-elle connue des personnes concernées qui utilisent les services du client ?

Qu’est-ce qui change pour le sous-traitant ?

La CNIL explique que contrairement à l’approche actuelle, qui fait peser les obligations sur le responsable du traitement, le règlement européen « consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE.

Il impose des obligations spécifiques aux sous-traitants qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements. »

Cela dit, on soulignera que la philosophie générale reste l’obligation du sous-traitant de ne traiter les données que sur instructions du responsable – ce qui était déjà prévu mais ces instructions devront être désormais spécialement documentés.

On notera également les obligations suivantes :

  • garantir que les personnes autorisées à traiter les données sont soumises à un devoir de confidentialité. ;
  • respecter les conditions de recrutement d’un autre sous-traitant secondaire ;
  • aider le responsable à donner suite à l’exercice des droits des personnes concernées ;
  • aider le responsable à garantir le respect de ses propres obligations de sécurité prévues aux articles 32 à 36 du Règlement ;
  • selon le choix du responsable, effacer ou restituer les données au responsable du traitement après l’exécution du service, etc.

Les obligations principales

La CNIL relève les obligations principales suivantes :

  • Une obligation de transparence et de traçabilité (qui se traduit concrètement, notamment par l’obligation de la rédaction d’un contrat et la tenue d’un registre.
  • La prise en compte des principes de protection des données dès la conception et de protection des données par défaut.
  • Une obligation de garantir la sécurité des données traitées
  • Une obligation d’assistance, d’alerte et de conseil.

La sous-sous-traitance

Cette problématique est nouvelle, et la CNIL insiste : « En tant que sous-traitant, vous ne pouvez recruter un autre sous-traitant qu’après avoir obtenu l’autorisation écrite de votre client. Cette autorisation peut être, au choix des parties :

  • spécifique, c’est-à-dire accordée pour un sous-traitant particulier ou
  • générale, vous devrez informer votre client de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants, permettant ainsi à votre client d’émettre des objections sur ces changements. »

Il reste 10 mois pour revoir les contrats

Les contrats en cours entre responsable et sous-traitant devront comprendre au 25 mai 2018 les clauses obligatoires prévues par le règlement européen.

La CNIL recommande donc à tous les sous-traitants :

  • d’anticiper cette évolution du cadre juridique applicable en intégrant dès à présent et par avenant les clauses dans les contrats en cours avec leurs clients, tout en prévoyant qu’elles ne seront opposables qu’à compter du 25 mai 2018
  • de procéder dès cette date à des vérifications et/ou audits vous permettant de vous assurer du respect de vos obligations en tant que sous-traitant et de réaliser les ajustements nécessaires.

Plus d’infos ?

En consultant le site de référence, GDPR-expert.eu, sur lequel le règlement est analysé article par article et mis en comparaison avec l’ancienne directive et les lois nationales applicables ;

En lisant en particulier tous les articles qui ont un impact sur la sous-traitance et notre analyse sur la situation actuelle, la situation projetée et les difficultés probables.

En lisant le guide pratique de la CNIL, disponible en annexe.

Droit & Technologies

Annexes

Le guide du sous-traitant de la CNIL

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK