« Le RGPD, ça ne me concerne pas, je suis sous-traitant ! »

Posted

Rédigé par Jérôme PAGES, DPO de Softeam Group.

Sur fond d’enthousiasme des chiffres présentés par la CNIL dans son article célébrant, en mai dernier, les 1 an de RGPD, ce titre provocateur pourrait faire sourire. Seulement, il s’agit d’une phrase prononcée avec beaucoup de sérieux par plusieurs responsables fournisseurs de services dans le domaine du numérique que j’ai rencontrés courant 2019 !

Face à un comportement plutôt réfractaire au RGPD, faut-il s’offusquer ou plutôt faire preuve de pédagogie en rappelant simplement la teneur de la réglementation européenne sur la protection des données personnelles et les engagements de chacun ?

Petit rappel de quelques définitions

Faisons donc un petit rappel avec quelques définitions extraites de l’Article 4 de la réglementation :

  1. « Traitement », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
  2. « Responsable du traitement », la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; …
  3. « Sous-traitant », la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Périmètre d’application du RGPD

Motivé par le considérant n°14, l’Article 1.2 (Objet et objectifs) du RGPD stipule que le règlement européen s’applique à toute personne physique, sans discrimination de nationalité ou de lieu de résidence. Contrairement à ce que l’on peut entendre parfois, le RGPD ne protège donc pas uniquement les citoyens européens.

C’est l’Article 3 qui précise le champ d’application territorial du RGPD qui s’applique suivant deux critères de localisation distincts :

  • Article 3.1 et 3.3 : Soit le lieu d’établissement du « Responsable du traitement » ou d’un « Sous-traitant » est situé sur le territoire de l’Union européenne ou dans un lieu où le droit d’un État membre s’applique.
  • Article 3.2 : Soit les personnes concernées (c’est-à-dire les personnes dont on traite les données personnelles), ainsi que les services ou offres de biens fournis sont situées dans l’Union.

 

Ainsi, si nous sommes un fournisseur de services, hébergeur par exemple ou bien ESN (Entreprise de Services du Numérique), basé sur le territoire de l’Union, en qualité de « Sous-traitant » et pour tout traitement réalisé pour le compte de nos clients, le RGPD nous concerne bel et bien.

Échapper au RGPD ?

Dans ce contexte de sous-traitance, les seules conditions qui pourraient nous affranchir de respecter le RGPD seraient :

  • Soit que l’ensemble des traitements que nous effectuons ne concerne pas de données à caractère personnel.
  • Soit que l’ensemble des traitements que nous effectuons concerne une offre de biens ou de services fournis exclusivement hors Union et que les personnes dont on traite les données personnelles se trouvent exclusivement en dehors de l’Union.

De plus, quand bien même une organisation arrivait à maintenir, en tant que « Sous-traitant », son activité hors du champ d’application du RGPD, la réglementation sur la protection des données s’applique de fait à l’ensemble des traitements pour lesquels elle est « Responsable du traitement » comme la gestion du personnel ou les activités commerciales.

Dans ces conditions, il est donc bien difficile de se soustraire à cette réglementation.

Les engagements du sous-traitant

En ce qui concerne notre responsabilité en tant que « Sous-traitant », les Article 28 et 33 en particulier, précisent les engagements à respecter. Il s’agit notamment :

  • De nommer un Délégué à la Protection des Données.
  • D’adopter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée.

Cela signifie en particulier que :

    • Privacy by design : Dès leur conception, nos outils, produits, applications et services, objets de nos prestations, intègrent les principes relatifs à la protection des données appliquant ainsi les principes du Privacy By Design.
    • Privacy by default : Nos outils, produits, applications et services livrés disposent, par défaut, d’un niveau de paramétrage garantissant la plus grande protection des données appliquant ainsi les principes du Privacy By Default.
    • Minimisation : Nos outils, produits, applications et services garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.
  • Gestion des risques : De prendre toute mesure pour garantir un niveau de sécurité adapté aux risques et pour permettre de détecter les éventuelles failles de sécurité.
  • Sous-traitance ultérieure : De demander l’autorisation écrite préalable du « Responsable du Traitement » si, en tant que « Sous-traitant », nous faisons nous-même appel à un « Sous-traitant ». Dans ce cas, nous devrons conclure avec notre « Sous-traitant » un contrat qui prévoira en particulier l’obligation de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du règlement européen.
  • Registre des traitements : De tenir un registre recensant l’ensemble des catégories d’activités de traitement effectuées pour nos clients et en particulier les activités de traitement du « Responsable du Traitement ».
  • Notification des violations : De notifier au « Responsable du Traitement » toute violation de données dans les meilleurs délais après en avoir pris connaissance et assister le « Responsable du Traitement » pour lui permettre de respecter ses obligations réglementaires.
  • Garantie et preuve : De mettre à la disposition du « Responsable du Traitement » toutes les informations nécessaires pour démontrer le respect de nos obligations et pour permettre la réalisation d’audits.
  • Suppression des données : Au terme de nos prestations, et selon les instructions qui nous aurons été données par le « Responsable du Traitement », de supprimer toutes les données ou de les renvoyer, et de détruire les copies existantes, sauf obligation légale de les conserver.
  • Devoirs fondamentaux : D’exercer notre devoir d’assistance, d’alerte et de conseil :
    • En informant le « Responsable du Traitement » immédiatement si, selon notre analyse, une instruction donnée par le « Responsable du Traitement » constitue une violation des règles en matière de protection des données.
    • En aidant le « Responsable du Traitement » à donner suite, dans la mesure du possible, à toute demande d’une personne exerçant ses droits (cf. chapitre III du RGPD).
    • En aidant le « Responsable du Traitement » à garantir, compte tenu des informations à notre disposition, le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.

Quelques aides

Au regard de l’ensemble de ces engagements, on peut comprendre que le RGPD puisse bouleverser les habitudes d’organisation sous-traitante. En effet, en plus des dispositions qui leur sont applicables en tant que responsable de leurs propres traitements, s’ajoutent les nouvelles dispositions liées à la démarche de responsabilisation du « Sous-traitant » vis-à-vis de ses clients et de la loi.

Afin d’accompagner les organisations qui sont à la fois « Responsable du traitement » et « Sous-traitant », la CNIL a publié dès 2017 un guide expliquant la démarche de mise en place des nouvelles obligations.

Des solutions pour avancer

Enfin, des solutions dédiées comme Privaciz permettent d’assister les organisations sous-traitantes dans toutes leurs démarches de mise en conformité au RGPD vis-à-vis de leurs clients.