02 Juin 2021
Ce n’est pas la première fois (ni la dernière sans doute) que je vous parlerai du RGPD mais c’est la première fois que la Cnil s’intéresse à la fois à la responsabilité du responsable de traitement et à son sous-traitant.
Me Éric BARBRY
Pour rappel, un responsable de traitement est la personne (généralement morale) qui traite les données c’est-à-dire qui collecte et exploite des données à caractère personnel. Un sous-traitant, quant à lui, est la personne (généralement morale aussi) qui va traiter les données pour le compte du responsable de traitement.
Que sont les membres EBEN ? Vous tous d’abord des responsables de traitement et en tant que tel, vous êtes soumis au RGPD : registre des traitements, politique d’information en tous genres, mise en œuvre des mesures techniques et organisationnelles appropriées et j’en passe.
Mais bon nombre d’entre vous êtes aussi et surtout des sous-traitants. La terminologie de sous-traitant est trompeuse. On comprend mieux la notion sous la terminologie américaine « processor », le sous-traitant « processe » les données pour le responsable de traitement.
Et sur ce point la Cnil est claire. Dans son « Guide du sous-traitant » de septembre 2017 la Cnil précise que « Une très grande variété de prestataires de services a la qualité de sous-traitant au sens juridique du terme. Les activités des sous-traitants peuvent concerner une tâche bien précise (sous-traitance d’envoi de courriers) ou être plus générales et étendues (gestion de l’ensemble d’un service pour le compte d’un autre organisme telle que la gestion de la paie des salariés ou des agents par exemple) ».
Mais la Cnil précise surtout que « Sont notamment concernés par le règlement européen : les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique ou anciennement sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données (…) ». La messe est dite, les membres EBEN ESN (ex SSII) sont des « sous-traitants ».
Le seul cas où la Cnil opère une exclusion, c’est lorsqu’elle indique que « Ne sont pas concernés, dans la mesure où ils n’ont pas accès et ne traitent pas de données à caractère personnel, les éditeurs de logiciels ou les fabricants de matériels (badgeuse, matériel biométrique, matériel médical) ».
La plupart d’entre vous êtes donc sous-traitants sans le savoir ou sans le vouloir. Or en tant que sous-traitant, vous avez 4 problèmes à gérer :
- Problème 1 : vous devez démontrer à votre client que vous êtes conforme au RGPD. Il ne s’agit pas d‘une obligation spontanée mais si vous recevez une demande en ce sens (souvent un questionnaire), vous devez y répondre et y répondre avec justesse. L’absence de réponse empêchera le client de vous choisir ; une réponse volontaire erronée sera considérée comme une faute grave qui fera sauter tous les cappings de responsabilité de vos contrats.
- Problème 2 : vous devez aider votre client à être conforme au RGPD. Et c’est là que la contrainte peut devenir une force au plan commercial. C’est à vous qu’il appartient de conseiller votre client sur le niveau de sécurité, PRA, PCA et autre SoC à mettre en œuvre pour répondre aux exigences du RGPD.
- Problème 3 : vous devez assister votre client en cas de violation de sécurité. Si la défaillance vient de vous, c’est un vrai problème qui pourra aboutir à la résiliation fautive du contrat. Mais si cela ne vient pas de vous, là encore c’est un bon moyen de réaliser des prestations additionnelles pour un client souvent désemparé.
- Problème 4 : vous avez des obligations propres à votre rôle de sous-traitant comme par exemple : former vos collaborateurs et les responsabiliser, élaborer un registre des opérations de traitement en qualité de sous-traitant ou encore organiser des audits avec vos clients.
Enfin si le responsable de traitement a longtemps été le responsable unique, la donne a récemment changé. Dans une décision dite « credential stuffing » dont le nom des entreprises en cause n’a pas été communiqué, la formation restreinte de la CNIL a sanctionné à hauteur de 150 000 euros le responsable de traitement mais aussi de 75 000 euros son sous-traitant pour ne pas avoir pris des mesures satisfaisantes pour faire face à des attaques par bourrage d’identifiants (credential stuffing) sur le site web du responsable de traitement.
A bon entendeur … A ce propos, je vous rappelle que le Pack juridique EBEN comporte des éléments précieux pour une mise en conformité à moindre coût au RGPD et une possibilité de disposer d’un DPO externalisé.