Brève n°1 – Les contrôles de la CNIL en 2019 : la répartition des responsabilités entre responsable de traitement et sous-traitant

La CNIL a récemment présenté son « Rapport d’activité 2018 », dans lequel elle fait état d’un « effet RGPD » illustré notamment par la hausse inédite des plaintes déposées auprès d’elle depuis son entrée en application, et précise les enjeux de son action en 2019. Plus particulièrement, la CNIL articulera cette année ses contrôles autour de trois thématiques majeures, dont l’une est susceptible d’être à l’origine de nombreux manquements à la réglementation : « la répartition des responsabilités entre responsable de traitements et sous-traitants » à travers notamment le contrôle de l’existence et de la mise en œuvre concrète du contrat de sous-traitance.

L’article 28 du RGPD encadre les traitements effectués pour le compte d’un responsable de traitement par une autre entité. Concrètement, le responsable de traitement communique au sous-traitant des instructions détaillées et documentées en vue de la réalisation du traitement pour son compte.

  1. L’enjeu de la qualification des parties

 

Un premier enjeu naît immédiatement de la nécessité, dans le cadre d’une relation contractuelle impliquant une transmission de données, de déterminer avec pertinence le rôle de chaque cocontractant et d’identifier, le cas échéant, une situation de sous-traitance. Un schéma contractuel complexe peut en effet se révéler ardu à qualifier, d’autant plus s’il intervient dans un secteur particulier tel que le domaine assuranciel.

Une lecture rapide des textes pourrait inciter certains à considérer comme sous-traitant tout tiers à qui des données sont communiquées. Cependant, une telle erreur de qualification aurait des impacts significatifs sur l’aménagement de la relation contractuelle entre les parties et son équilibre économique ; d’où la nécessité impérieuse d’une analyse approfondie des éléments de contexte pour déterminer avec précision le rôle de chaque partie et le cas échéant leurs obligations au titre de l’article 28 du RGPD.

 

  1. L’aménagement de la relation contractuelle de sous-traitance

 

Une fois la qualification des parties correctement effectuée, leur relation contractuelle doit être encadrée conformément aux dispositions du RGPD, étant entendu que le sous-traitant n’agit « que sur instruction documentée du responsable de traitement » (article 28.3.a). L’existence et la bonne application d’un instrument juridique sécurisant la relation de sous-traitance seront un des aspects contrôlés par la CNIL en 2019.

À certains égards, des précisions contractuelles s’imposent. S’agissant par exemple de l’exercice des droits des personnes concernées, de la notification d’une faille de sécurité à l’autorité de contrôle compétente ou de la suppression des données à l’issue de la durée de conservation, il incombe au responsable de traitement et au sous-traitant de déterminer le rôle concret de chacun en la matière, la charge de ces obligations pouvant peser sur l’un ou l’autre.

Le RGPD impose par ailleurs au sous-traitant de garantir la sécurité des données (article 28.3.c) et de concourir au respect par le responsable de traitement de ses obligations en la matière (article 28.3.f). Bien qu’il semble s’agir uniquement d’une obligation de moyens, son non-respect est néanmoins à l’origine de plusieurs sanctions sévères de la CNIL. Elle y sera sans aucune doute particulièrement attentive lors de ses contrôles.

À cet égard, une bonne répartition des obligations et une coopération efficace entre responsable de traitement et sous-traitant peut permettre, en cas d’incident, sa résolution rapide et une limitation des atteintes aux droits et libertés des personnes (et éventuellement une réduction de la sanction ; le montant de  l’amende administrative infligée à Optical Center a ainsi été réduit de 50.000 € par le Conseil d’État le 17 avril 2019, en raison de la célérité avec laquelle la société a mis en œuvre avec son prestataire les mesures correctrices adaptées suite à la constatation de failles de sécurité en ligne).

La société Orange a pour sa part été condamnée en 2014 pour avoir failli à préserver la sécurité et la confidentialité des données de ses utilisateurs, notamment par une absence de contrôle des diligences entreprises par un de ses multiples sous-traitants afin de garantir des niveaux de sécurité adéquats.

 

  1. Le partage des responsabilités sur les plans administratif et civil

 

En cas de contrôle de la CNIL et de constatation d’un manquement aux dispositions de l’article 28 du RGPD notamment, une sanction administrative (dont le montant maximal a été considérablement revu à la hausse) pourra être prononcée. Des interrogations demeurent pour savoir qui, en cas de responsabilité partagée, devra supporter le coût de la sanction et pour évaluer la répartition de cette somme entre les différentes parties ayant concouru au traitement. L’accentuation des contrôles sur ce point et l’examen des décisions rendues sur cette base permettront sans aucun doute d’apporter des précisions en la matière et de sécuriser davantage les relations contractuelles dans le cadre d’une sous-traitance.

Sur le plan civil, toute personne lésée peut demander, sur le fondement de l’article 82.1 du RGPD, l’indemnisation de son dommage indifféremment soit au responsable de traitement, soit au sous-traitant, avec la possibilité ensuite d’une action récursoire envers celui qui a concouru à la réalisation du dommage. Néanmoins, un « sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en dehors des instructions licites du responsable de traitement ou contrairement à celles-ci » (article 82.2). Un encadrement strict de la relation de sous-traitance, à travers entre autres des instructions détaillées du responsable de traitement, simplifiera en cas d’action contentieuse le partage des responsabilités entre les parties.

Nous pouvons aider les entreprises dans la qualification de leurs relations contractuelles et l’élaboration, si nécessaire, de contrats de sous-traitance.

Isabelle GAVANON et Valentin LE MAREC

Isabelle GAVANON

Avocate associée - Contrats informatiques
Isabelle Gavanon assiste et aide ses clients à gérer les risques juridiques associés aux projets de transition numérique grâce à des techniques contractuelles (implémentations et projets informatiques, de communications électroniques, internet ...) et à l’optimisation du statut de données, informations et créations (conformité RGPD, open data, preuve électronique, identité numérique, bases de données/droit d’auteur et contrefaçon, etc.). Une forte activité contentieuse complète cette pratique de conseil.

Voir toutes ces publications
Échanger en live Contacts