
Documenter la conformité de ses sous-traitants et sous-traitants ultérieurs, une nécessité : nouvel avis du CEPD
Le comité européen de la protection des données (CEPD) a adopté, le 7 octobre 2024, à la demande de l’autorité de protection des données danoise, un avis sur certaines obligations découlant du recours au(x) sous-traitant(s) et au(x) sous-traitant(s) ultérieurs.
Dans cet avis, le CEPD limite son analyse aux obligations du responsable du traitement relatives à la conformité des sous-traitants et sous-traitants ultérieurs en vertu de l’article 28, paragraphes 1, 2 et 4 du RGPD et aux obligations d’accountability du responsable du traitement en vertu de l’article 5, paragraphe 2, et de l’article 24, paragraphe 1, du RGPD.
Si l’avis ne révolutionne pas l’interprétation du RGPD, il apporte toutefois un éclairage important sur l’étendue des obligations du responsable de traitement vis-à-vis de la chaîne de sous-traitance et risque de bousculer quelque peu la pratique.
En effet, l’on constate généralement que les responsables de traitement recensent l’ensemble des sous-traitants de rang 1 dans le registre des activités de traitement et disposent de la liste des sous-traitants ultérieurs (sous-traitant de rang 2), de façon disparate, dans les accords de sous-traitance signés avec leurs sous-traitants (si tant est qu’un DPA ait été signé, ou que l’annexe sur les sous-traitants ultérieurs ait été remplie, ce qui n’est pas toujours le cas).
De façon générale, il ressort de l’avis que :
- les responsables de traitement doivent mettre à disposition à tout moment l’identité de tous leurs sous-traitants, y compris celle de leurs sous-traitants ultérieurs et ce quel que soit le risque associé au traitement. Ces informations sont : le nom, l’adresse et la personne de contact (nom, fonction, coordonnées) du sous-traitant et la description du traitement (y compris une délimitation claire des responsabilités dans le cas où plusieurs sous-traitants sont autorisés) ;
- les sous-traitants doivent fournir les informations relatives aux sous-traitants ultérieurs au responsable de traitement et les tenir à jour. Ainsi, dans les cas où le responsable du traitement décide d’accepter certains sous-traitants secondaires au moment de la signature du contrat, une liste des sous-traitants secondaires agréés doit figurer dans le contrat ou dans une annexe à celui-ci. La liste doit ensuite être tenue à jour, conformément à l’autorisation générale ou spécifique donnée par le responsable du traitement (v. page 9 de l’avis).
Pour ceux qui n’auraient pas encore mis en place de tels processus, les responsables de traitement doivent donc réfléchir à une méthode pour centraliser, permettre la mise à jour et documenter la conformité de l’ensemble de leurs sous-traitants et sous-traitants ultérieurs. De plus, en cas de contrôle de la CNIL, cette documentation permettra à la société de justifier de sa conformité au RGPD et ainsi éviter des sanctions sur le fondement du principe d’accountability notamment.
L’avis du CEPD apporte par ailleurs des précisions quant aux obligations (A) de vérification et de documentation par le responsable de traitement du caractère suffisant des garanties fournies par tous les sous-traitants de la chaîne de traitement, (B) de vérification du contrat entre le sous-traitant initial et les sous-traitants ultérieurs et enfin (C) d’encadrement des transferts hors UE dans la chaîne de sous-traitance.
A. Vérification et documentation par le responsable de traitement du caractère suffisant des garanties fournies par tous les sous-traitants de la chaîne de traitement
L’obligation de s’assurer que les sous-traitants ultérieurs et toute la chaîne de sous-traitance présentent des garanties suffisantes, incombe au responsable de traitement (v. page 13 de l’avis).
Le CEPD rappelle que le recours à un sous-traitant ou à un sous-traitant ultérieur et tout autre sous-traitant de la chaîne ne doit pas conduire à abaisser le niveau de protection des données qui serait garanti si le traitement était réalisé directement par le responsable de traitement (v. page 13 de l’avis).
Il précise par ailleurs que cette obligation incombe au responsable de traitement pour le recours aux sous-traitants ET aux sous-traitants ultérieurs, estimant que le terme « sous-traitant » de l’article 4 RGPD s’applique au sous-traitant de premier rang mais également aux sous-traitants de second rang etc. (v. page 8 de l’avis).
En outre, l’obligation du responsable du traitement de vérifier si les sous-traitants présentent des garanties suffisantes pour mettre en œuvre les mesures déterminées par le responsable du traitement devrait s’appliquer quel que soit le risque pour les droits et libertés des personnes concernées.
Le responsable de traitement, suivant la nature, la portée, le contexte et les finalités du traitement ainsi que les risques pour les droits et libertés des personnes physique, procède à des vérifications plus ou moins approfondies : la certification et l’adhésion à un code de conduite par le sous-traitant sont des éléments permettant de démontrer l’existence de « garanties suffisantes » (v. page 15 de l’avis) ; suivant le niveau de risque, le responsable de traitement peut demander à son sous-traitant la communication des contrats signés ses sous-traitants ultérieurs afin de vérifier que les garanties y sont bien reportées.
La vérification des garanties suffisantes doit être effectuée à intervalle régulier au cours de la relation contractuelle avec les sous-traitants.
En conséquence, les accords de sous-traitance devraient prévoir les modalités et fréquence de la communication des informations relatives aux garanties suffisantes du sous-traitant et des sous-traitants ultérieurs.
En cas d’autorisation générale pour la sous-traitance ultérieure, le responsable de traitement doit communiquer au sous-traitant des directives relatives aux garanties suffisantes pour guider ses choix de sous-traitants ultérieurs (v. page 16 de l’avis).
Il est d’ailleurs intéressant de relever que le CEPD considère que la détermination des sous-traitants est considérée comme un « moyen essentiels » du traitement permettant de déterminer les qualifications de traitement (v. page 9 de l’avis). Ainsi, si le choix des sous-traitants ultérieurs relève uniquement du sous-traitant (ce qui est souvent le cas, surtout dans les contrats d’adhésion), ce critère permettrait de faire pencher la balance, entre autres, vers une qualification de responsable de traitement du prestataire. Les juristes savent cependant à quel point cette question est complexe.
B. Vérification du contrat entre le sous-traitant initial et les sous-traitants ultérieurs
Le sous-traitant initial est tenu de reporter les mêmes obligations en matière de protection des données dans les contrats de sous-traitance que celles qu’il conclut avec des sous-traitants ultérieurs.
Cette obligation est expressément prévue à l’article 28, paragraphe 4.
Le CEPD en déduit qu’à la demande du responsable du traitement, le sous-traitant initial devra ainsi fournir les contrats de sous-traitance entre le sous-traitant initial et les autres sous-traitants ultérieurs.
Une copie des contrats de sous-traitance ultérieure pourrait aider le responsable de traitement à démontrer que ses sous-traitants et sous-traitants ultérieurs présentent des garanties suffisantes, notamment que le sous-traitant se conforme à l’article 28, paragraphe 4, du RGPD.
La question se pose alors de savoir si les clauses de confidentialité incorporées aux contrats auxquels sont annexés les DPA pourront valablement permettre au sous-traitant de s’opposer à la communication des contrats avec les sous-traitants ultérieurs. En effet, il n’est pas rare que les sous-traitants soient réticents à communiquer la documentation contractuelle avec leur propre sous-traitant au responsable de traitement. La pratique conduira sûrement à caviarder certains éléments commerciaux ou stratégiques des contrats, sans rapport avec la conformité du prestataire au RGPD.
En termes de responsabilité, le CEPD précise que si un sous-traitant secondaire ne remplit pas ses obligations, la responsabilité finale de l’exécution des obligations de cet autre sous-traitant ultérieur incombe au responsable du traitement. Toutefois, le sous-traitant reste responsable vis-à-vis du responsable du traitement, de sorte que ce dernier a la possibilité d’introduire une action en garantie à l’encontre de son sous-traitant initial si ce dernier ne reporte pas les mêmes obligations de protection des données dans le cadre de la sous-traitance ultérieure.
C. Transferts hors UE dans la chaîne de sous-traitance
En cas de transfert hors UE s’effectuant entre deux sous-traitants et/ou sous-traitants ultérieurs sur instructions du responsable de traitement, le responsable de traitement doit s’assurer que le transfert s’effectue moyennant des garanties appropriées des articles 44 et suivants du RGPD et qu’il ne diminue pas le niveau de protection des données.
En cas de transfert, même s’il n’est pas effectué directement par le responsable du traitement, mais par un sous-traitant pour le compte du responsable du traitement, ce dernier reste soumis aux obligations découlant à la fois de l’article 44 du RGPD et de l’article 28, paragraphe 1, du RGPD.
L’obligation de l’article 44 incombe à la fois au responsable de traitement et au sous-traitant. Le responsable du traitement et le sous-traitant restent, en principe, responsables, en vertu du chapitre V du RGPD, d’un transfert initial ou ultérieur illicite et pourraient donc être tenus pour responsables, solidairement et individuellement, en cas de manquement.
En vertu de l’article 28, le responsable de traitement est tenu de vérifier que les transferts opérés dans la chaîne de sous-traitance sont conformes et ce, quel que soit le risque associé au traitement.
Le responsable de traitement doit pouvoir en justifier auprès des autorités de contrôle, notamment en produisant la documentation communiquée par son sous-traitant.
La documentation correspond à (i) la cartographie des transferts indiquant les données traitées, le lieu de transfert et les finalités, (ii) la base légale de transfert utilisée (décision d’adéquation, CCT, etc.) et, le cas échéant, l’ « évaluation de l’impact du transfert » et les mesures complémentaires. Ces informations doivent être communiquées au responsable de traitement avant que le transfert ne soit effectué.
Ainsi, il ne s’agit plus simplement de vérifier si le sous-traitant de premier rang est établi en dehors de l’Union européenne, fait partie d’un groupe international ou héberge ses serveurs en dehors de l’Union européenne. Le responsable de traitement doit vérifier si les sous-traitants ultérieurs auxquels il est fait appel sont eux-mêmes établis en dehors de l’Union européenne, font partie d’un groupe international ou hébergent leurs serveurs en dehors de l’Union européenne. Cette tâche peut s’avérer relativement chronophage, suivant la disponibilité des informations et le nombre de sous-traitants impliqués et poser des difficultés pratiques.
En conclusion, l’avis du CEPD réaffirme la conception originelle du RGPD suivant laquelle le responsable de traitement est responsable des traitements de données qu’il effectue et de ceux qui sont effectués par des tiers pour son propre compte.
Néanmoins, l’avis paraît largement inadapté à la vie des affaires et à la réalité.
Il suffit de se rappeler que parmi les sous-traitants ultérieurs on trouve en général un hébergeur (AWS, Google Drive, Azure..) ou des éditeurs de solutions on-line tels que Microsoft, Salesforce et autres GAFAM, pour comprendre que ni le responsable de traitement, ni son sous-traitant de rang 1, ne peuvent exercer de contrôle réel.
Il est donc probable que l’avis du CEPD ne viendra qu’apporter une pierre supplémentaire aux exigences d’accountability et à l’établissement d’une documentation toujours plus importante, sans pour autant garantir une meilleure protection des données personnelles. Reste qu’il ne s’agit à ce stade que d’un avis et qu’il reviendra à la CNIL de l’appliquer intégralement ou non.
Faites appel à un DPO externalisé