Aujourd’hui la loi Informatique et Liberté ne s’applique qu’au responsable de traitement. A compter de mai 2018, le RGPD consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles. Il impose aux sous- traitants de nouvelles obligations.
La présente synthèse, issue du Guide du sous-traitant édité par la CNIL (*), n’est pas exhaustive. Elle a vocation à vous donner, en votre qualité de prestataire informatique, une vue d’ensemble sur les nouvelles obligations qui s’imposent à vous.
Etes-vous sous-traitant, responsable de traitement ou non concerné?
Deux cas de figure :
1. Vous intervenez en qualité de prestataire informatique avec accès aux données personnelles de vos clients (prestations d’hébergement, de maintenance, d’intégration) et vous traitez ces données pour le compte, sur instruction et sous l’autorité de votre client => vous êtes considéré comme sous –traitant au regard de la législation sur les données personnelles.
2. Vous intervenez en qualité d’éditeur de logiciel sans accès ni traitement de données personnelles => vous n’êtes pas concerné par les obligations qui s’imposent au sous-traitant.
Vous serez considéré non pas comme sous-traitant mais comme responsable ou co-responsable de traitement si vous déterminez la finalité et les moyens du traitement. Pour déterminer si vous êtes sous-traitant ou responsable (ou co-responsable) de traitement, il convient de mener une analyse au cas par cas pour chacun de vos clients, selon des critères qui comprennent le niveau d’instruction donné par le client, le degré de contrôle de l’exécution de la prestation par le client, la valeur ajoutée du prestataire etc…
De plus, vous êtes toujours responsable de traitement pour les traitements de données que vous réalisez pour votre propre compte (ex. gestion de vos clients, de votre personnel).
Quelles sont les conséquences de cette qualification ?
En tant que sous-traitant vous devrez désormais assister et conseiller votre client afin qu’il se conforme à ses obligations.
Ainsi vous serez tenu :
1) à une obligation de transparence et de traçabilité
qui implique notamment de :
– recenser par écrit les instructions du client ;
– obtenir du client son autorisation écrite pour faire appel à un sous-traitant ;
– tenir un registre qui recense vos clients et décrits les traitements effectués pour leur compte ;
2) de prendre en compte la protection des données dès la conception
Vous devrez offrir à vos clients les garanties nécessaires afin que le traitement réponde aux exigences du RGPD. Vos outils, services, applications devront, par défaut et dès leur conception, garantir que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de la durée de leur traitement, etc.
Exemple : vos outils et services devront permettre au client de paramétrer la collecte de données sans que soit rendu techniquement obligatoire le renseignement d’un champ facultatif.
3) de garantir la sécurité des données
notamment en :
– soumettant vos employés à une obligation de confidentialité ;
– notifiant au client toute violation ;
– supprimant ou restituant toutes les données à l’issue de votre prestation.
4) à une obligation d’assistance, d’alerte et de conseil
qui implique notamment :
– d’informer votre client si vous estimez qu’une instruction constitue une violation des règles applicables ;
– d’assister votre client à répondre à une demande individuelle d’accès de rectification, de portabilité etc.
Vade-mecum du prestataire informatique
Vérifiez si vous devez désigner un Délégué à la Protection des Données Personnelles (DPO)
En tant que sous-traitant vous y êtes tenu si vos activités de base vous amènent à réaliser pour le compte d’autrui un suivi régulier et systématique de personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles ».
Révisez vos contrats en cours
Définissent-ils l’objet et la durée de la prestation ? La nature et la finalité du traitement ? Les droits et obligations de chaque partie respectivement en tant que responsable de traitement et de sous-traitant ?
Elaborez un registre écrit des catégories d’activité de traitement.
Vous devez cartographier vos traitements en mentionnant l’identité et les coordonnées de chaque client avec une description des mesures de sécurité mises en place et le cas échéant l’identité du sous-traitant auquel vous faites vous-même appel ainsi que les transferts de données hors UE que vous effectuez.
Vous avez la qualité de responsable de traitement pour les opérations que vous mettez en œuvre sur vos propres données. => dès lors, deux registres sont à tenir.
Vérifiez, si vous faites vous-même appel à un sous-traitant (« le sous-traitant ultérieur ») :
– que vous avez obtenu l’autorisation écrite de votre client, soit pour un sous- traitant identifié, soit en général vis-à-vis de la sous-traitance ;
– que votre contrat de sous-traitance est en « mirroring » du contrat principal ie. il soumet le sous-traitant ultérieur aux mêmes obligations que celles auxquelles vous êtes soumis vis-à-vis de votre client, étant précisé que c’est vous qui êtes pleinement responsable vis-à-vis du responsable de traitement des agissements du sous-traitant ultérieur.
N’attendez pas l’entrée en vigueur du RGPD en mai 2018 pour initier ce chantier.
Il est probable que les autorités de contrôle ne fassent pas preuve d’indulgence compte tenu du délai de deux ans qui a été accordé aux organismes pour leur mise en conformité. Or les sanctions peuvent être lourdes.
Votre responsabilité peut être engagée vis-à-vis de toute personne ayant subi un dommage du fait de la violation d’obligations incombant au sous-traitant.
De plus vous encourez des sanctions administratives qui peuvent s’élever jusqu’au montant le plus élevé entre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’exercice précédent de l’entreprise.
Nous restons à votre disposition pour vous accompagner dans cette démarche de mise en conformité en effectuant un audit et en identifiant et anticipant vos risques.
Florence Ivanier, Avocat associé Cabinet AURELE IT