06 Mar 2017 Sous-traitant et données personnelles : quelles sont vos (nouvelles) obligations ?
Vous êtes sous-traitant, prestataire technique, éditeur d’une solution Saas, hébergeur, etc. ? Alors cet article devrait vous intéresser…enfin je l’espère ! En effet, selon votre fonction et/ou le service fourni, vous « traitez » de la donnée (parfois personnelle) pour le compte de vos clients, sans même le savoir parfois. La donnée transite via votre solution Saas, elle est hébergée sur vos serveurs ou vous y accédez dans le cadre d’une opération de maintenance, etc.
Retour sur le régime actuel
A l’heure actuelle, les relations entre un responsable de traitement (votre client) et un sous-traitant (vous) sont régies, entre autres, par les articles 34 et 35 de la loi Informatique et Libertés.
En résumé, ces articles traitent de la répartition des rôles et des responsabilités entre votre client et vous, sous-traitant.
Le responsable de traitement (votre client) est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données. Ainsi, en qualité de sous-traitant, vous ne pouvez agir que sur instructions de votre client et devez présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité des données.
En pratique, les parties prévoient (généralement mais pas toujours) par contrat le périmètre d’intervention et les obligations de chacun. Certains clients fournissent leurs exigences en matière de sécurité et exigent du sous-traitant la fourniture d’une politique de sécurité, la possibilité d’effectuer des audits, etc.
Back to the future …
Le Règlement Général sur la Protection des données, le « GDPR », (dont l’entrée en vigueur est fixée le 25 mai 2018) confirme et modifie substantiellement les obligations à la charge du sous-traitant.
Tout d’abord, le GDPR nous donne une définition du sous-traitant : il s’agit de la personne physique ou morale, l’autorité publique, le service ou un autre organisme, qui traite des données pour le compte du responsable de traitement (le client) (article 4 GDPR).
Le sous-traitant ne doit agir que sur instructions du client (article 28 du GDPR). Il n’y a donc pas de grande révolution par rapport au régime précédent sur ce sujet.
Surtout, le sous-traitant doit présenter des garanties suffisantes et des mesures techniques et organisationnelles, notamment sur le terrain de la sécurité (article 28 GDPR).
A titre d’exemple, le GDPR propose au sous-traitant d’adopter des codes de bonne conduite, de mettre en place un processus de certification, d’utiliser des outils de pseudonymisation ou de chiffrement de données robustes, proposer systématiquement des plans de sauvegarde, de réversibilité, etc. à ses clients.
S’il outrepasse ou ne respecte pas ces obligations, le sous-traitant sera susceptible d’engager sa propre responsabilité (ou conjointement avec le responsable de traitement) et être condamné au versement de dommages et intérêts par exemple (article 82 GDPR).
Dernier point sur lequel insiste le GDPR, le contrat …
Le GDPR exige du sous-traitant des engagements contractuels forts. Il devra par exemple s’engager par écrit à n’agir que sur instructions documentées du client, informer régulièrement son client, garantir la confidentialité et la sécurité (article 32 GDPR) des données, justifier des mesures organisationnelles et techniques prises, le cas échéant supprimer ou détruire les données, etc.
Un doute sur le contenu de vos contrats ou de conditions générales de services ? Faites les auditer et réviser et ce, idéalement avant le 25 mai 2018 !