Archive dans 21 février 2019

La Responsabilité des Sous-Traitants face au RGPD

Par dans Sous-traitant

Le RGPD a en changé la donne quant aux obligations du sous-traitant et a renforcé son niveau de responsabilité.

On peut regrouper ces obligations en 4 grandes catégories :

  1. la transparence et la traçabilité des traitements (via les clauses contractuelles spécifiques, le registre des traitements, la désignation d’un DPO etc…) ;
  2. la prise en compte des principes de protection des données (licéité et minimisation de la collecte, durée de rétention, etc….) ;
  3. l’obligation de garantir la sécurité et la confidentialité des données (politique de sécurité documentée, audits et tests d’intrusion récurrents, segmentation du réseau avec droits d’accès restrictifs, registre des incidents, etc…) ;
  4. l’obligation d’assistance, de conseil et d’alerte. L’assistance se traduit par des actions à mener par le prestataire en cas d’exercice du droit des personnes (droit d’accès, modification, suppression ou limitation), de contrôle de la CNIL ou d’audit du client.

Pour remplir ses obligations, le sous-traitant en sécurité informatique doit ainsi maitriser les grands principes du RGPD afin de conseiller son client. Il faudra par exemple rappeler à ce dernier l’obligation d’informer ses salariés de la finalité du traitement de données personnelles et de leurs droits par une charte informatique. D’autre part, avant de mettre en place une solution de type « Data Leak Prevention » ou de filtrage Web, le responsable de traitement doit effectuer une Etude d’Impact sur la Vie Privée (« EIVP » ou en anglais « PIA »). Il s’agit d’une étude des risques vis-à-vis des données personnelles. En cas de risque important, le client devra en informer la CNIL et attendre son retour avant de mettre en place la solution décalant d’autant le déploiement par le prestataire. Une formation des forces de vente et des équipes techniques de celui-ci est dont indispensable. Enfin, « le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance » (Article 33 du RGPD), le responsable de traitement doit à partir de ce moment-là notifier la CNIL sous 72 heures. Le sous-traitant doit donc tenir un registre des incidents afin de se protéger et prouver qu’il a notifié le client dès qu’il a pris connaissance de la violation.

En mettant en place et gérant à distance des solutions de Cybersurveillance, les SSII en sécurité traitent forcément des données personnelles voire des données sensibles au sens du RGPD (opinions politiques, religieuses ou orientations sexuelles). Ces prestataires sont donc directement concernés par la réglementation européenne. Se pose alors la question de savoir qui porte la responsabilité ou, autrement dit, qui décide des finalités et des moyens concernant le traitement de données personnelles ? Dans certains cas précisés par la CNIL, le sous-traitant pourra être requalifié de responsable ou co-responsable de traitement notamment selon l’expertise et l’autonomie laissées au sous-traitant, d’où l’importance de bien préciser les responsabilités dans des clauses contractuelles spécifiques.

Quels sont les autres risques pour le sous-traitant en cas de manquement à ces obligations ? Ils sont de 3 ordres : d’image, administratifs et judiciaires.

  • Ce qui est nouveau avec l’application du RGPD, c’est la possibilité pour l’autorité locale d’appliquer des sanctions au responsable de traitement mais aussi au sous-traitant. Ainsi, tout comme le client final, le prestataire sous-traitant pourrait être sanctionné par la CNIL par un avertissement public qui nuirait à l’image et à la réputation de celui-ci, mais aussi par une amende pouvant aller jusqu’à 10 millions d’euros ou 10 % du C.A. mondial de l’exercice précédent.
  • En sus, un juge peut condamner un responsable de traitement ou un co-responsable de traitement (ou son responsable légal s’il s’agit d’une personne morale) à de la prison ferme (5 ans) et une amende allant jusqu’à 300 000 Euros.
  • Enfin, il y a un risque de droit civil pour demande en réparation. Une condamnation civile peut donner lieu à une nullité du contrat de vente et donc un remboursement du client (Cf. arrêt de la Cours de cassation du 25/06/2013). Dans tous les cas, cela peut s’avérer critique pour la survie du sous-traitant concerné.

En résumé, les sous-traitants ont tout intérêt à mettre en haut de leurs priorités leur conformité au RGPD ainsi que la formation de leurs équipes techniques et commerciales avant de se retrouver pris à défaut. Car ceci pourrait mettre en péril leur business en ruinant leur image, sans parler des sanctions financières. En se mettant en conformité, ils ne feraient que renforcer leurs propositions de valeurs et leurs images de professionnels de la sécurité tout en réalisant un checkup complet de leurs procédures.