La simple garantie contractuelle du sous-traitant ou du partenaire, s’engageant à se conformer au RGPD, est susceptible de ne pas permettre au responsable de traitement de démontrer le respect de ses propres obligations. Aussi, ce dernier doit déployer des mesures de contrôles et d’audits aux fins de vérifications du respect, par ses sous-traitants et partenaires, de leurs engagements en matière de protection des données personnelles.
* *
*
Dans le cadre de son activité, toute entreprise est susceptible de traiter des données à caractère personnel en tant que responsable de traitement. Dans ce cadre, toute entreprise peut également être amenée à faire appel à des prestataires, lesquels peuvent avoir à traiter des données personnelles pour son compte, en qualité de sous-traitant.
Dans une telle hypothèse, il résulte de l’article 28 du Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD ») que le responsable de traitement doit uniquement faire appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour respecter les exigences du RGPD.
Ce même article impose d’inclure, dans tout contrat liant un responsable de traitement et un sous-traitant, des mentions obligatoires stipulant notamment que le sous-traitant s’engage et garantit que les opérations de traitement qu’il met en œuvre respectent les exigences posées par le RGPD à son égard, en détaillant au mieux la teneur de ces exigences.
A titre d’illustration, une telle clause doit prévoir notamment que le sous-traitant :
- ne traite les données à caractère personnel que sur instructions documentées du responsable du traitement ;
- prend toutes les mesures techniques et organisationnelles nécessaires pour assurer la sécurité des données ;
- met à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits par le responsable de traitement ainsi que pour contribuer à ces audits.
Tout responsable de traitement peut également être amené à faire appel à d’autres responsables de traitement afin de collecter auprès d’eux des données à caractère personnel, par exemple en achetant des fichiers de données auprès de fournisseurs de fichiers ou « data brokers ».
Dans une telle hypothèse, le RGPD n’impose pas stricto sensu de clauses obligatoires dans les relations contractuelles entre de tels responsables distincts de traitements. Toutefois, le responsable de traitement qui recueille des données auprès d’un autre responsable de traitement doit s’assurer que les données qu’il a vocation à réutiliser ont été collectées et peuvent être traitées par ses soins dans le respect des dispositions applicables aux traitements de données à caractère personnel. Il doit donc à cette fin, en pratique, demander les garanties contractuelles appropriées à son partenaire fournisseur des données.
Cependant, il ressort de diverses décisions ou prises de position récentes de la Cnil que la simple garantie contractuelle du sous-traitant ou du partenaire, s’engageant à se conformer au RGPD, est susceptible de ne pas permettre au responsable de traitement de démontrer le respect de ses propres obligations.
En effet, la Cnil semble se positionner de plus en plus clairement sur le fait que les responsables de traitement sont dans l’obligation d’adopter une attitude proactive en matière de contrôle de leurs sous-traitants ou de leurs partenaires pour s’assurer du respect par leurs soins des obligations leur incombant.
Vers une obligation de proactivité du responsable de traitement en matière de contrôle de son sous-traitant : la décision « Infogreffe » du 8 septembre 2022
Dans sa décision « Infogreffe » du 8 septembre 2022, la formation restreinte de la Cnil a prononcé une amende administrative de 250 000 euros à l’encontre du GIE Infogreffe à raison de manquements de la part dudit GIE à l’obligation de ne conserver les données que pour une durée proportionnée à la finalité du traitement (article 5 1) e) du RGPD) ainsi que pour divers manquements en termes de sécurité des données (article 32 du RGPD).
Dans le cadre de son argumentation en défense, le GIE Infogreffe insistait sur la responsabilité contractuelle de son sous-traitant qui n’avait pas respecté les instructions qui lui avaient été données concernant la sécurité et l’anonymisation des données à caractère personnel.
Le GIE Infogreffe cherchait ainsi à se prévaloir du non-respect par son sous-traitant des instructions qu’il lui avait données visant à assurer sa conformité au RGPD.
Mais la formation restreinte de la Cnil, bien que reconnaissant que le GIE Infogreffe avait bien donné des instructions spécifiques en matière d’anonymisation et de sécurité des données à son sous-traitant, considère que le responsable de traitement « n’a pas suivi l’exécution de ces instructions et n’a pas exercé un contrôle satisfaisant et régulier sur les mesures techniques et organisationnelles mise en œuvre par son sous-traitant pour assurer la conformité au RGPD et, notamment pour assurer l’anonymisation et la sécurité des données à caractère personnel traitées. »
La formation restreinte de la Cnil rejette donc cet argumentaire du GIE Infogreffe, en considérant que même si le responsable de traitement donne des instructions à son sous-traitant afin de s’assurer de la conformité au RGPD des traitements alors mis en œuvre, celui-ci doit assurer un suivi de l’exécution de ses instructions et assurer un contrôle régulier de son sous-traitant pour s’assurer du respect par ce dernier des instructions données.
Vers une obligation de proactivité du responsable de traitement en matière d’audit de ses fournisseurs de fichiers : la décision « EDF » du 24 novembre 2022
Dans sa décision « EDF » du 24 novembre 2022, la formation restreinte de la Cnil a prononcé une amende de 600 000 euros à l’encontre de EDF pour des manquements à son obligation de recueillir le consentement des personnes concernées pour la mise en œuvre d’opérations de prospection commerciale par emails, à son obligation d’information des personnes concernées et pour divers manquements en lien avec l’exercice des droits des personnes et l’obligation de sécurité des données (pour en savoir plus, voir notre article à ce sujet ici).
S’agissant du manquement à l’obligation de recueillir un consentement préalable à l’envoi de prospections commerciales par email, il doit être noté que EDF faisait appel à des courtiers en données auprès de qui étaient achetées les coordonnées de prospects.
Aussi, dans le cadre de sa défense, EDF arguait que les courtiers en données étaient en charge de la collecte du consentement des personnes concernées, et qu’ils s’engageaient d’ailleurs contractuellement à respecter le RGPD et les règles applicables en matière de prospection commerciale, notamment le recueil du consentement des prospects à être démarchés par email.
Cependant, EDF avait également reconnu n’exercer aucun contrôle sur les formulaires de recueil de consentement utilisés, et ne réaliser aucun audit sur ces courtiers en données et sur les modalités de recueil du consentement des personnes concernées, en se limitant à obtenir la garantie contractuelle précitée et à conduire des échanges informels avec lesdits courtiers.
La formation restreinte de la Cnil a donc sanctionné EDF en considérant notamment que les mesures mises en place pour s’assurer auprès de ses partenaires que le consentement des prospects avait été valablement donné avant d’être démarchés étaient insuffisantes.
Afin de se conformer à ses obligations légales en matière de prospection commerciale, EDF aurait dû procéder à de véritables audits auprès de ses partenaires afin de s’assurer de leur respect des exigences du RGPD en termes de recueil du consentement.
Des modalités de contrôles et d’audits des sous-traitants et partenaires à définir et à mettre en œuvre
Les décisions de la formation restreinte de la Cnil le prouvent : un responsable de traitement « passif » est un responsable de traitement « fautif ».
Il reste donc désormais aux responsables de traitement à définir et à mettre en œuvre ces modalités d’audits et de contrôles de leurs sous-traitants et partenaires.
Questionnaire d’évaluation de la maturité juridique « données à caractère personnel », analyse de la politique de sécurité des données à caractère personnel, audits de sécurité technique et organisationnelle (à faire réaliser par un tiers compétent et indépendant), vérifications pratiques des garanties contractuelles fournies (le respect des engagements devant pouvoir être prouvé par le partenaire ou le sous-traitant), process de vérifications et d’audits continus ou a minima réguliers (et définition des modalités : sur place ou à distance, récurrence, points de contrôles, documents à demander, etc.), suivi des instructions données aux sous-traitants afin de s’assurer que ces instructions sont respectées et mis en place de moyens de contrôle à cette fin,.. Autant de mesures à envisager, à contractualiser, et à déployer en attendant d’éventuelles lignes directrices de la Cnil à ce sujet…
En tout état de cause, tout responsable de traitement doit (i) prendre conscience de l’importance de ces contrôles et audits, (ii) revoir ses contrats avec ses sous-traitants et partenaires pour y inclure la possibilité d’effectuer de tels contrôles et audits, et en prévoir les modalités de manière détaillée, (iii) les mettre en œuvre de manière effective, et (iv) les documenter.
* *
*
Le Pôle « IT, Data protection & Cybercriminalité » d’AGIL’IT se tient à votre disposition pour vous accompagner en vue d’une mise et/ou d’un maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel, et notamment sur l’encadrement juridique de la relation entre responsables de traitement et sous-traitants.
Par AGIL’IT – Pôle IT, Data & Sécurité
Laure LANDES-GRONOWSKI, Avocate associée