Quelles garanties pour faire appel à un sous-traitant ?

Si un sous-traitant est amené à traiter des données personnelles pour votre compte (vous définissant ainsi comme responsable de traitement), il conviendra de le choisir avec soin ! Car ce choix peut engager votre responsabilité même si désormais le sous-traitant peut également voir sa responsabilité engagée. La CNIL résume comme suit les exigences pour contracter un sous-traitant : " Celui-ci doit présenter les garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. "

Le règlement européen sur la protection des données (RGPD) " consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu'elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l'UE. Il impose des obligations spécifiques aux sous-traitants qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements " (Texte officiel Articles 28, 30.2 et 37 du règlement européen sur les obligations du sous-traitant).

Définition d'un sous-traitant

Vous êtes en principe un sous-traitant si vous traitez des données personnelles pour le compte, sur instruction et sous l'autorité d'un responsable de traitement. Le responsable de traitement est celui " qui détermine les finalités et les moyens d'un traitement " (article 4 du règlement européen - définitions). Une très grande variété de prestataires de services peut avoir la qualité de sous-traitant. Juridiquement, le contrat définira les clauses et les engagements réciproques du sous-traitant et du responsable de traitement. Il conviendra donc de porter une attention particulière au contrat et aux garanties, termes et obligations qui y seront associés. Les activités des sous-traitants peuvent concerner une tache spécifique (par exemple la sous-traitance d'envoi de courriers) ou être plus globales (comptabilité et gestion de la paie, hébergement de données informatiques).

Dans la mesure ou un sous-traitant aurait été autorisé à faire lui-même appel à un ou des sous-traitants (selon un principe dit " en cascade "), sachez que l'identité des sous-traitants doit être a minima portée à votre connaissance, ceux-ci doivent répondre au même degré d'exigence que votre sous-traitant " principal ", ce dernier aura donc les mêmes responsabilités que vous vis-à-vis de ses propres sous-traitants.

Quelles garanties demander à un sous-traitant

Le choix du sous-traitant est de la responsabilité du responsable de traitement, il ne doit donc pas être fait à la légère. Comme tout prestataire, ce choix sera réalisé selon des critères de sérieux, de qualité d'exécution de la prestation et de prix !, le RGPD amène une dimension supplémentaire dans la mesure ou vous engagerez votre propre responsabilité quant au respect des données personnelles qui seront traitées. Néanmoins, demander des garanties exagérées au sous-traitant ne vous exonère pas de vos propres obligations, comme dit l'adage il ne faut pas être plus royaliste que le roi. La CNIL indique notamment (Art. 24) que les obligations et les moyens imposés au sous-traitant doivent être proportionnés au regard du traitement, et précisé par une politique de protection appropriée, définie par le responsable du traitement.

Le contrat

C'est la base et le préalable, il constitue la première des garanties. Quelques points particuliers sur lesquels vous devrez porter votre attention :

Description du traitement : doivent être précisés, la nature des opérations, les finalités du traitement, le type de données personnelles qui seront traitées, les catégories de personnes concernées, les obligations et les droits du responsable du traitement.

Objet ou principes généraux : sont définis les conditions dans lesquelles le sous-traitant s'engage à effectuer les opérations de traitement de données à caractère personnel. Porter notamment votre attention sur l'engagement du sous-traitant à respecter et à vous alerter sur la règlementation en vigueur et à justifier de la tenue de la documentation adaptée.

Confidentialité : définir les obligations de confidentialité contractuelles du sous-traitant quant aux traitements de données personnelles, ainsi que les modalités de destructions de données à l'issue de la réalisation de la prestation.

(Source : modèle de contrat de sous-traitance issu des travaux du SNCD)

Les Labels, les codes de conduite et les certifications

De nombreux labels et certifications sont disponibles sur le marché, mais tous ne se valent pas... en effet le RGPD a aussi ses effets pervers, il a ainsi généré l'apparition de labels et de certifications délivrés par des sociétés privés plus ou moins sérieuses. Il conviendra donc d'analyser la probité de l'entité qui délivre le label ou la certification autant que la nature du label délivré. Certains labels et certifications sont néanmoins des références et peuvent même selon le type de traitement ou de données personnelles traitées, être rendus obligatoires, ce sera notamment le cas pour des données de santé avec l'agrément HDS.

Les certifications de sécurité relatives aux systèmes d'information

Elles sont d'ordre techniques essentiellement et permettent d'apprécier comment les organisations assurent la sécurité de leurs informations et la protection des données personnelles. Sachez également que les appels d'offres publiques ou privés intègrent de plus en plus ce type de normes comme prérequis pour les candidats.

Deux familles de normes existent, les deux ont une reconnaissance mondiale : ISO et SOC. La norme ISO est une référence internationale utilisée en UE, avec notamment la famille de normes ISO 27000 qui aide les organisations à organiser et assurer la sécurité de leurs informations (données financières, les documents soumis à la propriété intellectuelle, les informations relatives au personnel ou les données qui vous sont confiées par des tiers). Vous rencontrerez peut-être également la norme SOC (référence idoine anglosaxonne) qui couvre les mêmes besoins.

Les labels ou les certifications relatives à la protection des données

Labels ou certification, qu'est-ce qui change ? Un label est un signe de qualité pouvant être utilisé sur la base d'un engagement, d'une charte ou d'un cahier des charges relatif à la protection des données ; il n'engage que ses signataires ; les critères de labellisation et d'utilisation des signes distinctifs liés au label sont déterminés par le titulaire du label. Quelques labels édités par des organismes professionnels existent, on citera notamment le Privacy Protection - Pact édité par le SNCD, organisation représentative de la Data Marketing Industrie, qui clarifie les bonnes pratiques procédurales entre les donneurs d'ordre et les sous-traitants, afin d'établir un contrat de confiance.

Les certifications seront délivrées par des organismes certificateurs agréés (en France, par la CNIL ou par l'organisme national d'accréditation (COFRAC)) ou par l'autorité de contrôle compétente. Elles donnent lieu à un contrôle régulier, par le tiers certificateur, au travers d'audits.

Les labels ou les certifications peuvent concerner les personnes (certification des compétences du DPO) ou la gouvernance en matière de politique de protection des données personnelles, au travers de process et de bonnes conduites. La CNIL ne délivre plus de labels ou de certifications, elle confie désormais pleinement ce rôle aux organismes certificateurs qu'elle accrédite en amont.

Les codes de conduite approuvés

Cette démarche est très largement encouragée par la CNIL. Ceux-ci sont élaborés par les acteurs professionnels (fédérations, organisations professionnelles) et traduisent une application concrète de la réglementation sur la protection des données à un secteur d'activité donné et se composent de bonnes pratiques (durée de conservation, mention d'information, modes opératoires...). L'adhésion à un code de conduite est libre. Le RGPD prévoit qu'un organisme tiers sera chargé de contrôler le respect d'un code, cet outil de conformité a donc un caractère contraignant.

Auteur

Cette définition vous a été donnée par, Antoine ANDRIEU (Chief Data Officer chez iCOVER), membre du Sncd (organisation professionnelle de la Data Marketing Industrie).