Dans le prolongement de son Guide de la sous-traitance, la CNIL a publié son guide des six bonnes pratiques pour respecter les données personnelles en matière de sous-traitance. Le sous-traitant et le responsable de traitement sont tenus à un certain nombre de nouvelles obligations en application du RGPD. La CNIL, qui a réalisé des vérifications auprès de 15 fournisseurs de services et solutions informatiques en ligne, a rappelé quelques bonnes pratiques à adopter.

Déterminer le statut des acteurs impliqués

Lorsqu’un organisme traite des données personnelles pour le compte d’un responsable de traitement, il est considéré comme son sous-traitant au sens du RGPD. C’est également le cas s’il fournit une solution « clé en main », si cet organisme traite effectivement des données personnelles (et n’est pas, par exemple, uniquement éditeur de logiciels). À l’inverse, si le sous-traitant traite également les données issues de ce traitement pour son propre compte (par exemple, à des fins de gestion de la relation client ou encore de comptabilité), il sera considéré comme responsable de traitement pour ce traitement spécifique.

Le donneur d’ordre et le prestataire de service définissent chacun leur rôle sur la base de la réglementation applicable (articles 4.7, 4.8 et 28.10 du RGPD), en menant l’analyse ensemble, afin de pouvoir ensuite s’accorder sur leurs obligations respectives.

Cela vaut également pour les cas de sous-traitance n’impliquant qu’un accès ponctuel aux données personnelles (telles que les opérations de maintenance). Attention, cela ne signifie pas que les parties peuvent « choisir » ensemble la qualification qui les arrange.

Cette clarification est essentielle pour assurer la sécurité juridique des deux parties au contrat.

Établir un contrat clair

Le responsable de traitement et le sous-traitant doivent conclure un contrat incluant plusieurs mentions obligatoires listées à l’article 28.3 du RGPD. Cela doit permettre aux parties : i) d’organiser leurs rapports et leurs obligations respectives au regard de la protection des données personnelles ; ii) d’intégrer l’ensemble des mentions listées à l’article 28.3 du RGPD, en les adaptant à leur situation, et mettre en œuvre les obligations ainsi définies.

Les clauses suivantes constituent des points de vigilance particuliers.

Définir et encadrer le traitement

Le contrat doit définir clairement l’objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de données à caractère personnel et les catégories de personnes concernées. C’est cette définition qui fixe le cadre du traitement pour le sous-traitant. En pratique, l’objet du traitement correspondra le plus souvent à l’activité du sous-traitant (par exemple, des prestations de routage d’emails, d’hébergement de données, de maintenance ou de support).

Toute opération de traitement non prévue dans le contrat devrait, en principe, faire l’objet d’une renégociation préalable entre les parties ou au moins d’instructions écrites du responsable de traitement.

Préciser les conditions dans lesquelles le sous-traitant peut lui-même recourir à un sous-traitant

Le sous-traitant ne peut recruter un autre sous-traitant que sur autorisation écrite du responsable de traitement (article 28 du RGPD).

Cette autorisation peut être donnée au sous-traitant au cas par cas, pour chaque nouveau sous-traitant, ou avoir une portée générale. La CNIL recommande de préciser dans le contrat laquelle de ces deux modalités d’autorisation est choisie par les parties.

Si l’autorisation a une portée générale, le sous-traitant doit informer le responsable de traitement de la liste de ses sous-traitants ultérieurs, ainsi que de tout ajout ou remplacement dans cette liste, afin de lui permettre d’y objecter s’il le souhaite. Dans ce cas, la CNIL recommande de contractualiser les modalités d’information du donneur d’ordre et, éventuellement, les critères du choix de ces sous-traitants.

Le sous-traitant doit tenir à jour, dans son registre, une liste des sous-traitants auxquels il recourt.

Documenter l’activité de sous-traitance

Le responsable de traitement doit s’assurer que son sous-traitant respecte le RGPD. Pour ce faire, le contrat doit impérativement comporter une clause selon laquelle le sous-traitant tient à disposition du donneur d’ordre toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre la réalisation d’audit par le responsable de traitement (ou un autre auditeur qu’il a mandaté).

Outre la conclusion d’un contrat de sous-traitance, le sous-traitant doit également : i) veiller à ce que les instructions délivrées par le responsable de traitement soient formalisées de manière écrite et procéder à leur recensement afin d’être en mesure de démontrer qu’il agit sur instruction du responsable de traitement ; ii) tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement (article 30.2 du RGPD) ; iii) tenir à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits.

Proposer des outils respectueux des données personnelles

Le sous-traitant doit offrir des garanties suffisantes pour répondre aux exigences du RGPD (article 28.1 du RGPD). Il doit proposer des solutions et outils respectueux des données personnelles. Il a également un rôle d’assistance et de conseil à l’égard du responsable de traitement. Il doit alerter le responsable de traitement s’il estime qu’une instruction qu’il reçoit constitue une violation de la réglementation applicable en matière de données personnelles. Pour sa part, le responsable de traitement doit veiller à recourir à des services qui incluent des fonctionnalités et outils techniques qui lui permettront d’assurer sa conformité.

Les fonctionnalités suivantes peuvent aider le responsable de traitement à assurer sa conformité : i) une interface de recueil du consentement, dans l’hypothèse où le traitement de données personnelles mis en œuvre par le responsable de traitement requiert le consentement de l’utilisateur final ; ii) un lien de désinscription automatique, lorsque le traitement de données personnelles est fondé sur le consentement de l’utilisateur, afin de lui permettre de retirer ce consentement à tout moment ;  iii) une interface et un modèle d’information des personnes ; iv) un système de purge automatique des données dont la durée de conservation est arrivée à son terme.

Aider le responsable de traitement à répondre aux demandes d’exercices des droits des personnes

Le sous-traitant doit aider le donneur d’ordre dans le traitement des demandes d’exercice des droits qu’il reçoit (accès, rectification, effacement, limitation, portabilité) conformément à l’article 28.3.e) du RGPD. Cette assistance est d’autant plus essentielle que le sous-traitant est parfois le plus à même d’assurer la mise en œuvre technique des suites apportées aux demandes d’exercice des droits.

Il est donc important d’organiser, dès la conclusion du contrat de sous-traitance, les modalités de cette assistance et de veiller à ce que la solution fournie par le sous-traitant intègre des fonctionnalités permettant de répondre à ces demandes facilement et rapidement.

Il est possible de mettre en place une interface d’exercice des droits des personnes, avec un système de suivi et de répartition automatique des demandes d’exercice des droits en fonction de leur objet. Cette organisation est d’autant plus recommandée qu’une suite doit être donnée par le responsable de traitement aux demandes des personnes exerçant leurs droits dans les meilleurs délais, et en tout état de cause dans un délai d’un mois à compter de la réception de la demande.

Garantir la sécurité des données collectées

Le responsable de traitement doit faire appel à un sous-traitant qui présente des garanties suffisantes en termes de sécurité. Le sous-traitant doit, quant à lui, assurer un niveau de sécurité suffisant au regard de la nature des données collectées pour le responsable de traitement (article 32 du RGPD). En pratique, le sous-traitant joue un rôle fondamental dans la mesure où, bien souvent : i) il assurera la mise en œuvre effective des traitements de données personnelles ; ii) il détient le savoir-faire et la maîtrise technique de la solution commercialisée.

En cas de violation de données, le sous-traitant doit également aider le responsable de traitement, à remplir ses obligations de notification à la CNIL et de communication à la personne concernée le cas échéant.

Il est recommandé : i) d’exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information ; ii) d’assurer et de documenter l’effectivité des garanties offertes par le sous-traitant en matière de protection des données. Par exemple, les parties peuvent mettre en œuvre les moyens suivants (en les encadrant contractuellement si nécessaire) : audits de sécurité, visite des installations, certifications de l’organisme, certification des compétences du DPO.

Le responsable de traitement comme le sous-traitant peuvent imposer à leurs employés une obligation contractuelle de confidentialité et s’assurer que ceux-ci sont sensibilisés aux grands principes de la protection des données. Il est également recommandé au responsable de traitement et au sous-traitant d’imposer à leurs employés une obligation contractuelle de confidentialité et de s’assurer que ceux-ci sont sensibilisés aux grands principes de la protection des données.

Il est nécessaire, enfin, de limiter les accès aux seules personnes habilitées en raison de leurs fonctions, et en distinguant les différentes opérations qui peuvent être effectuées sur les données (consultation, modification, suppression, export, etc.).