Lumières sur le projet de lignes directrices du CEPD sur les responsables de traitement et sous-traitants dans le cadre du RGPD (1ère partie) (eu)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
 Europe >   Droit privé >  Droit européen >  Protection des données personnelles 




 Auteure : Maître Stephanie Faber au Barreau de Paris[1]  

Date: le 9 Novembre 2020

Eu flag.png

Cet article est le premier d’une série destinée à aborder les concepts et questions clefs traités dans le projet d’un ensemble de lignes directrices récemment publié par le Comité Européen de Protection des Données « CEPD » ou en anglais « EDPB ». Les commentaires sur le projet de lignes directrices devaient être soumis avant le 19 octobre 2020.

Partie 1 : Les sous-traitants

Le CEPD a publié le 7 septembre 2020 un projet de Lignes directrices 07/2020 sur les notions de responsable de traitement et sous-traitant dans le cadre du RGPD, en anglais Guidelines 07/2020 on the concepts of controller and processor in the GDPR. Les entreprises et le public pouvaient présenter des observations jusqu’au 19 octobre 2020.

L’une des questions essentielles qui doit être prise en compte lors de l’évaluation des obligations et responsabilités potentielles d’une entreprise soumise au RGPD lorsqu’elle collecte et traite des données personnelles, est de savoir si elle doit être qualifiée de « responsable de traitement » ou de « sous-traitant », tels que ces termes sont définis par le RGPD. Cette problématique n’est pas nouvelle, puisque ces termes ont à l’origine été introduits en 1995 par la Directive 95/46 sur la protection des données personnelles et que ces définitions n’ont par la suite pas été modifiées de manière significative par le RGPD. Déterminer si une entreprise agit en tant que responsable de traitement ou sous-traitant n’est souvent pas évident, car la frontière entre ces concepts ne l’est elle-même pas toujours.

Le présent article porte sur la qualité de sous-traitant. Les articles suivants porteront sur les qualifications de responsable de traitement, de responsable conjoint et finalement les concepts de tiers et destinataires.

Quelles sont les nouveautés du projet de lignes directrices quant au rôle du sous-traitant ?

Dans l’ensemble, les principes de base sous-tendant les notions de responsable de traitement, responsable conjoint et sous-traitant restent les mêmes que dans l« avis 1/2010 sur les notions de responsable du traitement et sous-traitant » publié en février 2010 par le Groupe de travail « article 29 » (« G29 », prédécesseur du CEPD).

Les éléments pertinents ayant trait au rôle du sous-traitant incluent ce qui suit.

Comment déterminer si une entreprise est un sous-traitant ?

Le CEPD fournit de précieux conseils afin de déterminer si une entreprise doit être considérée comme un sous-traitant. Malgré l’actualisation des lignes directrices, cette évaluation confrontée à la pratique, demeure un exercice complexe.

Le Comité rappelle que la détermination des rôles de responsable de traitement et de sous-traitant peut découler de dispositions légales, lorsque la loi identifie explicitement le responsable de traitement, et dans certains cas le sous-traitant (ce qui a par exemple récemment été le cas pour des entreprises participant aux applications de traçage des contacts instituées par le gouvernement dans le contexte du COVID-19), ou de façon implicite, par l’attribution de tâches spécifiques à une organisation qui impliquent une fonction de contrôle.

Le CEPD met néanmoins l’accent sur le fait que, dans la plupart des cas, la détermination de la qualification est basée sur les activités et rôles effectivement assumés dans un cadre donné plutôt que sur la désignation formelle des parties en tant que responsable ou sous-traitant.

Tous les prestataires ne sont pas des sous-traitants. Le rôle d’un sous-traitant ne découle pas de son activité commerciale, par exemple celle de prestataire informatique Cloud, mais dépend plutôt de l’activité de traitement spécifique dans le contexte particulier.

Les lignes directrices indiquent qu’une « analyse au cas par cas reste nécessaire […] afin de déterminer le degré d’influence effectif que chaque entité a dans la détermination des finalités et moyens du traitement ». Les stipulations d’un contrat peuvent contribuer à cette détermination mais ne doivent pas non plus être rédigées avec l’intention d’attribuer artificiellement la qualification de sous-traitant.

Le sous-traitant agissant pour le compte du responsable de traitement

Le projet de lignes directrices réitère les deux conditions de base applicables aux sous-traitants : (a) c’est une entité distincte du responsable de traitement ; et (b) elle traite des données personnelles pour le compte du responsable de traitement.

Un exemple d’entités distinctes serait deux sociétés au sein d’un même groupe. À noter qu’un service particulier au sein d’une société ne serait pas considéré comme une entité distincte et ne pourrait en principe pas être qualifié de sous-traitant d’un autre service de cette même société. De même, si un responsable de traitement décide de traiter des données personnelles en utilisant ses propres ressources, à savoir par exemple ses employés, ces derniers ne seront pas des sous-traitants. Ceci est dû au fait que le traitement est effectué au sein d’une même entité (ce qui ne peut pas être considéré comme une relation avec une entité distincte). Les lignes directrices précisent également que les intérimaires agissent au même titre que le personnel permanent et ne peuvent donc pas être considérés comme sous-traitants.

Un sous-traitant doit mettre œuvre les instructions données par le responsable de traitement, qui doivent à tout le moins déterminer la finalité du traitement ainsi que les éléments essentiels des moyens du traitement. Cela ne signifie pas que les instructions données par le responsable de traitement ne peuvent laisser de marge de manœuvre au sous-traitant. Les lignes directrices spécifient précisément que les instructions « peuvent laisser [au sous-traitant] une certaine marge de manœuvre quant à la meilleure manière de servir les intérêts du responsable ». Le responsable de traitement décide des « moyens essentiels » à savoir « quelles données seront traitées », « qui sont les personnes dont les données sont traitées », « quels sont les tiers qui auront accès à ces données », « à quel moment les données seront-elles effacées ». Cela laisse au sous-traitant les « moyens non-essentiels » qui concernent les « aspects plus pratiques de la mise en œuvre » de l’activité de traitement, par exemple le choix d’un équipement informatique ou logiciel particulier ou encore de mesures de sécurité spécifiques.

Une frontière ténue pour être qualifié de responsable de traitement

Lorsqu’un sous-traitant va au-delà des instructions du responsable, il sera alors lui-même considéré comme responsable pour les activités en question. Ceci est souvent négligé par les sous-traitants lorsqu’ils décident d’utiliser les données personnelles à leurs propres fins telles que développer leurs propres activités commerciales ou pour les besoins de la recherche et développement. Dans ce cas, l’entité pourra faire « l’objet de sanction pour être allée au-delà des instructions données par le responsable de traitement ».

De plus, la « même entité peut agir à la fois en tant que responsable de traitement pour certaines activités de traitement et en tant que sous-traitant pour d’autres ». Une évaluation doit être effectuée et ce « au regard de chaque activité spécifique de traitement de données ». Il importera de documenter et de traiter cette question dans l’accord entre le responsable de traitement et le sous-traitant lors de la définition des rôles respectifs des parties.

Obligations autonomes du sous-traitant

Une des innovations principales du RGPD consiste à avoir imposé un certain nombre d’obligations et responsabilités au sous-traitant. Telles notamment des obligations permettant d’assurer la confidentialité des données personnelles, la mise en œuvre de mesures de sécurité techniques et organisationnelles, le maintien d’un registre des activités de traitement, la mise en œuvre de garanties appropriées lors des transferts internationaux etc.

Accord contractuel avec un responsable de traitement

Le CEPD constate que « l’article 28(3) RGPD impose des obligations directes aux sous-traitants, ce qui inclue le devoir d’assister le responsable de traitement dans le la mise en conformité ». Cependant, le CEPD précise que le « devoir d’assistance ne constitue pas un renversement de la responsabilité ».

Le Comité insiste sur le fait que l’obligation d’établir un contrat conforme aux dispositions du RGPD incombe aux deux parties. Ainsi, si un sous-traitant est soumis au RGPD, il devra s’assurer que ses contrats avec les responsables de traitement répondent aux exigences du RGPD.

Les clauses contractuelles types (« CCT ») adoptées par une autorité de contrôle permettant au sous-traitant de se conformer à l’article 28 RGPD (à ne pas confondre avec les CCT pour le transfert international de données) peuvent également être utilisées, bien que le CEPD ne les considère pas comme l’option à privilégier. Le Comité insiste sur le fait que les contrats devraient être propres à la relation entre responsable de traitement et sous-traitant et contenir des stipulations concrètes sur la manière dont les conditions de l’article 28 sont satisfaites; et ne pas simplement se contenter de rappeler les dispositions du RGPD.

Le projet de lignes directrices fournit une interprétation de l’article 28(3) RGPD et en particulier les points suivants :

  • Il est important que le sous-traitant ait des instructions écrites du responsable de traitement. En pratique, le sous-traitant a souvent des difficultés à obtenir de tels documents.
  • Les instructions devraient également couvrir les transferts internationaux de données personnelles. Dans le cas où les instructions du responsable n’autorisent pas de tels transferts, « le sous-traitant ne sera pas autorisé à confier le traitement à un sous-traitant ultérieur établi dans un pays tiers et ne pourra de même pas traiter les données dans un de ses établissements hors UE». Si au contraire les instructions autorisent un tel transfert, l’accord entre les parties doit inclure une clause traitant de la meilleure manière de fournir les garanties exigées par le RGPD. Cette obligation doit par ailleurs être interprétée au regard de la récente décision Schrems II (pour plus d’informations sur ce sujet, vous pouvez vous référer à notre article).
  • Dans l’hypothèse où une législation de l’UE ou d’un État Membre applicable au sous-traitant requerrait de procéder au traitement d’une manière différente de celle prescrite par le responsable de traitement, le sous-traitant doit en informer ce dernier avant le début du traitement.
  • L’accord contractuel entre le responsable de traitement et le sous-traitant doit contenir des précisions concernant la manière dont le sous-traitant est amené à assister le responsable de traitement dans le respect de ses obligations selon les articles 32 à 36 du RGPD (par exemple, en en précisant les procédures et formulaires dans les annexes).
  • Concernant la clause traitant de la notification par le sous-traitant au responsable de traitement d’une violation de données personnelles, « le CEPD recommande la mise en place dans le contrat d’un délai de notification (par ex. nombre d’heures) et la fourniture de coordonnées du contact destinataire des notifications».
  • L’obligation de fournir au responsable de traitement toutes les informations nécessaires à démontrer la conformité du traitement au RGPD, inclut « toutes les informations sur la manière dont l’activité de traitement sera conduite pour le compte du responsable de traitement », par exemple les « informations sur le fonctionnement des systèmes utilisés, les mesures de sécurité, la conservation de données, la localisation des données, les transferts de données, l’accès aux données et destinataires des données, le recours à des sous-traitants ultérieurs etc. » et, éventuellement, le partage des extraits pertinents du registre du sous-traitant sur les activités de traitement.
  • Concernant les audits, « les parties doivent coopérer en toute bonne foi et évaluer si et quand il y a besoin de procéder à un audit dans les locaux du sous-traitant», ce qui semble impliquer que les audits sur site peuvent, dans certains cas, être évités.
  • Tout changement des stipulations contractuelles ou des mesures de sécurité devra être approuvé par le responsable de traitement, ce qui signifie que le sous-traitant ne peut pas se contenter de publier en ligne les modifications en question.
  • Le CEPD clarifie le fait que le contrat devra bien être signé par les parties. Cela signifie que les livres blancs et les politiques de protection des données présentées par les sous-traitants ne suffisent pas à satisfaire aux conditions de l’article 28 RGPD, à moins qu’ils ne soient incorporés à l’accord contractuel entre les deux parties. Les sous-traitants, grandes entreprises offrant un service standard, devront activement impliquer les responsables de traitement de façon à ce que ces derniers approuvent les décisions à différentes étapes, ce afin de répondre aux exigences du RGPD et conserver le statut de sous-traitant.

Responsabilité des sous-traitants ultérieurs

Le CEPD reconnaît la complexité croissante des chaînes de sous-traitants. Le projet de lignes directrices rappelle le fait que le sous-traitant est pleinement responsable à l’égard du responsable de traitement du respect par les sous-traitants ultérieurs des obligations stipulées dans le contrat conclu avec le responsable de traitement. La désignation de sous-traitants ultérieurs doit être préalablement autorisée par le responsable de traitement ; le CEPD propose une interprétation par défaut du cas où le responsable de traitement ne réagit pas à une demande d’autorisation, selon que cette autorisation est spéciale ou générale.

Le projet ne détaille toutefois pas les conséquences d’une absence d’autorisation en pratique (par exemple, changement de sous-traitant ultérieur, modification du contenu du service ou résiliation du contrat).

Il est de même rappelé aux sous-traitants qu’ils sont tenus de répercuter (de « façon fonctionnelle ») leurs obligations aux sous-traitants ultérieurs et sont encouragés à s’assurer du respect par ces derniers des obligations de protection des données ainsi répercutées.

Comment résoudre les difficultés rencontrées par les parties concernant leurs qualifications respectives ?

Certaines organisations se contentent d’assumer le rôle qui leur est formellement prescrit par leurs clients ou prestataires, ce qui peut parfois les conduire à assumer différents rôles pour un même traitement. La difficulté se présente notamment lorsqu’un grand nombre de personnes sont impliquées dans une prestation de service. Cela soulève la question de la répartition des responsabilités entre les parties.

Si cette question n’est pas traitée avec l’attention requise, certaines organisations peuvent être amenées à supporter un niveau de responsabilité disproportionné en matière de protection des données personnelles, s’exposant ainsi à un risque accru de non-conformité règlementaire, mais aussi à des poursuites par les personnes concernées ou des tiers.

De plus, lorsqu’un grand nombre de participants est impliqué dans la prestation, d’autres questions peuvent se poser comme la légalité du traitement, les risques pour les droits et libertés des personnes concernées, mais aussi de l’exercice de leurs droits tels que prescrits par le RGPD.

Il est important pour les entreprises de documenter le raisonnement sous-jacent à leur rôle de sous-traitant vis-à-vis des services ou du traitement de données personnelles en question. Cela ne nécessite pas un document volumineux mais s’avère utile au moment de la négociation des contrats ou encore dans le cadre d’audits précédant des opérations de fusions-acquisitions.

Une fois la qualification de sous-traitant établie, les organisations doivent établir avec soin un accord standard de traitement des données, conforme à l’article 28 du RGPD, et l’adapter au cas par cas aux besoins et instructions du responsable de traitement.