Le RGPD, trois ans après: focus sur la responsabilité des sous-traitants

Un article de la Grande Bibliothèque du Droit, le droit partagé.
 Europe >   Droit privé >  Droit européen >  Protection des données personnelles

Florence Ivanier, avocate au barreau de Paris [1]
Juin 2021



Le RGPD [2], règlement européen sur la protection des données, entré en vigueur le 25 mai 2018, a instauré un régime de responsabilité propre aux sous-traitants, qui n’existait pas sous l’empire de la loi antérieure. Qu’en est-il de cette responsabilité, trois ans après l’entrée en vigueur du RGPD ?

Deux délibérations de la CNIL, sanctionnant un responsable de traitement et son sous-traitant, ont été rendues le 27 janvier 2021. Ces décisions sont passées relativement inaperçues car elles n’ont pas été publiées et n’ont fait l’objet que d’un communiqué de la CNIL[1]. Pour autant, elles sont riches d’enseignement, notamment parce qu’elles illustrent pour la première fois la mise en cause de la responsabilité d’un sous-traitant au titre du RGPD.

La CNIL a prononcé, au visa de l’article 32 du RGPD [2], des amendes respectives de 150.000 € et de 75.000 € à l’encontre respectivement du responsable de traitement et du sous-traitant, pour défaut de mise en place de mesures contre le credential stuffing [3].

Quels sont les faits en cause ?

Un site Web d’achats en ligne a fait l’objet d’un grand nombre d’attaques de type credential stuffing. Cette pratique consiste à utiliser un bot qui tente un grand nombre de connexions à partir d’informations volées sur d’autres sites. A titre de réponse, l’exploitant du site, responsable de traitement et son sous-traitant en charge de la sécurité informatique, ont mis en place une stratégie de défense consistant à développer un logiciel ad hoc pour se protéger contre ce type d’attaques. Or, le développement de cet outil a pris un an, pendant lequel les données clients ont continué d’être exposées.

Quelle atteinte aux données ?

Des données clients (nom, courriel, date de naissance, numéro de carte de fidélité) ont été exposées entre mars 2018 et février 2019.

Quel manquement a été commis ?

La CNIL a estimé que les mesures suivantes, plus simples et plus rapides à mettre en œuvre que celle choisies par le responsable et son sous-traitant, auraient permis d’éviter l’exposition des données:

  • mise en place d’un test CAPTCHA à l’identification
  • limitation du nombre de requêtes autorisées lors de l’identification.

Quels enseignements tirer de ces décisions ?

Un changement de paradigme:

Sous l’empire de la loi antérieure au RGPD, en cas de recours à un sous-traitant, le responsable de traitement était seul responsable et avait l’obligation de veiller au respect des mesures de sécurité [3].

A titre d’exemple, dans sa délibération du 8 janvier 2018, la CNIL avait sanctionné à hauteur de 100.000 € la société Darty, en sa qualité de responsable de traitement, sans prononcer de sanction à l’encontre de son sous-traitant, alors que Darty utilisait un logiciel développé par son sous-traitant pour la gestion de son service après-vente et que la fuite de données à l’origine de cette condamnation résultait d’une faille de sécurité dans ce logiciel. En effet, la CNIL avait rappelé que « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge par le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte ».

L’entrée en vigueur du RGPD a entraîné un changement de paradigme redéfinissant les obligations des acteurs prenant part au traitement. Le règlement a instauré une responsabilité spécifique du sous-traitant, sans pour autant décharger le responsable de traitement de la sienne propre.

Dans cet exemple, si la décision avait été prononcée sous l’empire du RGPD, ce sont sans doute les deux protagonistes qui auraient été condamnés.

Une condamnation au titre de l’obligation de conseil du sous-traitant:

La décision commentée nous apprend que le sous-traitant est responsable au titre de son obligation de conseil envers le responsable de traitement, En effet, la CNIL précise dans son communiqué que:

« le responsable de traitement doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant. Mais le sous-traitant doit aussi rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles, et les proposer au responsable de traitement. »

Cependant, mis à part la décision commentée au présent article du 27 janvier 2021, il n’existe pas à notre connaissance, en France, ni en Europe, de décision de condamnation d’un sous-traitant sur le fondement du RGPD.

Dès lors, un certain nombre de questions restent en suspens:

Comment se partagent les responsabilités en cas de violation de sécurité ?

Il n’est pas évident de savoir dans quelle mesure une violation de données peut être imputée au responsable du traitement, ou au sous-traitant ou encore aux deux.

Pour rappel, l’article 82 al. 2 du RGPD prévoit: « un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. »

Or il découle de l’article 28 du RGPD que le sous-traitant est tenu de:

  • 28 a) ne traiter les données que sur instruction documentée du responsable de traitement,
  • 28 c) prendre toutes les mesures requises en vertu de l’article 32,
  • 28 h in fine) informer immédiatement le responsable de traitement si, selon lui, une instruction constitue une violation du règlement.

Ainsi, le sous-traitant pourra être tenu pour responsable toutes les fois qu’il a commis un manquement spécifique à l’une de ces obligations.

A qui est imputable le défaut d’existence d’un contrat écrit entre le responsable de traitement et le sous-traitant, tel que requis par l’article 28 du RGPD ?

Si l’on en croit une décision de l’autorité de contrôle italienne du 14 janvier 2021, seul le responsable de traitement est responsable dans ce cas. En effet, le contrôleur italien condamne, à hauteur de 75000 €, au visa des articles 5 & 28 du RGPD, un responsable de traitement, la Regione Lazio, pour défaut de mise en place d’un contrat de sous-traitance écrit avec son sous-traitant, sans condamner le sous-traitant. Toutefois rien dans l’article 28 ne laisse penser que seul le responsable de traitement serait visé par cette obligation et il est tout à fait possible qu’une autre autorité de contrôle adopte une interprétation différente et condamne un sous-traitant au titre de ce manquement.

Quelle est l’efficacité des clauses de limitation ou d’exclusion de responsabilité entre le responsable de traitement et son sous-traitant ?

Pour rappel, les articles 82 (alinéas 1, 4 et 5) et 26 alinéa 3 du RGPD posent un principe de responsabilité solidaire, selon lequel toute répartition de responsabilité entre les acteurs du traitement ne serait pas opposable aux personnes concernées. Il en découle une responsabilité solidaire dans le cadre des actions en réparation qui pourraient être engagées par des personnes concernées qui auraient subi un dommage. Ainsi, tout acteur d’un traitement, responsable de traitement, responsable conjoint ou sous-traitant, est tenu de réparer le dommage pour le tout auprès des personnes concernées, à charge pour le protagoniste qui a réparé le dommage, dans le cadre d’une action récursoire, d’obtenir restitution des sommes qu’il a versées auprès des autres acteurs du traitement ayant contribué au dommage.

Les articles 82 et 26 précités ne prévoient pas expressément que la solidarité joue à l’égard d’une autorité de contrôle mais on ne peut l’exclure.

Compte tenu de cette responsabilité solidaire, il est de bonne pratique pour un sous-traitant de veiller à se ménager dans ses contrats avec les responsables de traitements une limitation de responsabilité. Ce type de disposition contractuelle est devenu courant dans les négociations entre les protagonistes dans le cadre de leur contrat de traitement de données (Data Protection Agreement).

Ce type de clauses vise uniquement à limiter la portée des recours dont disposerait le responsable de traitement à l’encontre du sous-traitant en cas de violation de données. En revanche, aucun aménagement contractuel ne peut conduire à limiter la responsabilité d’un sous-traitant vis à vis une autorité de contrôle concernant les sanctions qu’il encourt.

Aucune décision n’a été rendue à ce jour sur l’interprétation ou la validité de telles clauses. Il nous semble cependant que ces clauses devraient être considérées comme valables et de plein effet. Seules les jurisprudences à venir nous permettront d’en apprécier la portée exacte.

Références

  1. « Credential stuffing » : la CNIL sanctionne un responsable de traitement et son sous-traitant | CNIL
  2. « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (…) pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »
  3. Article 34 Loi Informatique et Libertés: « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »