#RGPD : Comment gérer ses sous-traitants ?

Applicable à partir du 25 mai 2018 à l’ensemble de l’Union européenne, le règlement européen sur la protection des données[1] (RGPD ou GDPR en anglais) responsabilise les responsables de traitement et sous-traitants qu’ils soient ou non établis au sein de l’Union européenne[2].

Le règlement impose désormais des obligations spécifiques aux sous-traitants dont la responsabilité peut être engagée.

Un organisme qui traite des données personnelles pour le compte d’un responsable de traitements est considéré comme un sous traitant. Pour rappel, le responsable de traitements est celui « qui détermine les finalités et les moyens d’un traitement » (article 4). La finalité s’entend de la raison pour laquelle on met en place le traitement, et les moyens visent la façon dont on va atteindre l’objectif fixé. Pour certains services (cloud computing notamment…), l’application concrète de ces définitions n’est pas toujours aisée. A noter que le présent article ne traite que des seuls sous-traitants, un régime distinct est applicable si le prestataire est responsable conjoint du traitement avec son client.

Les activités des sous-traitants peuvent être différentes avec des tâches précises ou plus générales.

Beaucoup de sous-traitants ne se considèrent pas impliqués dans la conformité au RGPD au seul titre qu’ils ne traitent pas de données pour leurs clients, ou n’y accèdent pas, notamment les prestataires de services informatiques, les éditeurs de logiciels ... Or le « traitement » a un sens extrêmement large puisqu’il constitue toute opération effectuée sur ou appliquée à une donnée ou un ensemble de données : collecte, transmission, stockage, modification, communication, enregistrement… (article 4).

Vos prestataires peuvent dans de nombreux cas, avoir accès aux données de leurs clients ou, sans avoir accès à leur contenu, les stocker, les héberger (hébergeur de bases de données clients, société d’archivage...). Ils doivent par conséquent se conformer au règlement.

Gérer la sous-traitance constitue aussi une des obligations imposées par le RGPD au responsable de traitement

• celui-doit en effet, ne faire appel qu’à des sous-traitants présentant des garanties suffisantes en termes techniques et organisationnels (article 28.1)

• le sous-traitant lui-même ne peut faire appel à d’autres sous-traitants que s’il est autorisé au cas par cas, par le responsable de traitement, soit, si ce dernier a consenti une autorisation générale, que s’il a notifié au responsable un changement de sous-traitant, lui permettant de refuser le choix proposé (article 28.2).

• Les relations avec le sous-traitant doivent impérativement être encadrées soit par un contrat, soit par un autre acte juridique imposant des obligations minimales au sous-traitant (28.3).

De notre expérience, la communication avec ces sous-traitants n’est pas toujours aisée face à la conformité du règlement : Déni, absence de réponses concrètes ....

La difficulté peut s’allonger si l’organisation a plusieurs prestataires, comme on peut le voir par exemple dans les activités de logistiques et des sous-traitants en cascades, et si le sous-traitant est situé en dehors de l’Union européenne.

Pour ce faire, nous préconisons une démarche en 5 phases :

1°) Dans un premier temps, cartographiez tous les sous-traitants auxquels fait appel l’organisation et identifiez s’ils traitent, ou ont accès à des données personnelles pour le compte de leur client ; dans l’affirmative, analyser leur rôle exact au regard des données traitées (sous-traitant, responsable conjoint).

2°) Il faut ensuite engager un dialogue avec chaque sous-traitant en lui posant des questions sur son approche de la conformité du RGPD pour en évaluer sa maturité et mesurer les risques encourus avec lui. On peut tenir un fichier de suivi des réponses de chaque sous-traitant.

Auditer de façon approfondie chaque sous-traitant n’est pas réellement envisageable, surtout si on a un grand nombre, aussi l’envoi d’un questionnaire d’auto-évaluation est recommandé ; il n’est pas nécessaire de poser aux sous-traitants toutes les questions concernant sa conformité au RGPD. En fonction de la criticité des prestations sous-traitées pour votre activité et de l’accès ou non du prestataire aux données, parfois seules 4 questions permettent d’avoir un ressenti sur la maturité du sous-traitant.

1. Existe-t-il dans l’entreprise un cadre de gouvernance sur la sécurité informatique ?

2. Une politique de sécurité informatique est-elle diffusée aux utilisateurs ?

3. Les utilisateurs sont-ils sensibilisés au nouveau règlement ?

4. Quel type de mesure de protection sont implémentées dans l’entreprise, sont-elles documentées ?

Avec ces premières questions vous êtes en capacité de faire une première évaluation du sous-traitant. De manière générale, les réponses aux questionnaires doivent vous permettre d’évaluer le niveau de risque associé à chaque sous-traitant. Un sous-traitant qui a des réponses négatives devra mener un projet global et un changement de culture d’entreprise, or sans volonté de la direction, il n’a que très peu de chance de satisfaire aux exigences dans le temps.

La relation avec les sous-traitants peut être un travail de longue haleine, nous rencontrons des entreprises qui ont plus de cent sous-traitants qui traitent ou ont accès à des données personnelles de l’entreprise.

Malheureusement il faut gérer le sous-traitant au cas par cas, c’est dans ce contexte qu’il est vital d’évaluer chaque sous-traitant pour mesurer le risque que prend le responsable de traitement.

D’une manière générale, auditer ses partenaires est une excellente initiative, l’audit s’inscrit dans une démarche d’amélioration continue et permet que chaque prestataire progresse et apporte des garanties solides dans le temps aux responsables de traitement.

3°) Une fois le prestataire audité, il faudra négocier avec votre prestataire, au moyen soit d’un avenant, soit d’un accord séparé, des clauses adaptées au niveau de risque, reprenant les obligations minimales du RGPD (mesures de sécurité, gestion de la sous-traitance ultérieure, transfert de données hors de l’Union européenne, assistance du responsable de traitement, notification des violations de données personnelles, etc.).

4°) Pour la sélection des futurs sous-traitants, vous devrez définir un référentiel d’exigences tenant compte des obligations liées au RGPD et adapter votre documentation de consultation.

5°) Dans le cadre des obligations d’ « Accountability » ou auto-responsabilités prescrites par le règlement, chaque partenaire devra faire l’objet d’une revue périodique par questionnaire d’évaluation et revue documentaire, la revue permet aux responsables de traitements d’évaluer le sous-traitant et de déclencher des actions en cas de manquement. Alors, comment en pratique, imposer à un sous-traitant de réaliser sa mise en conformité quand vous n’avez pas la possibilité de remplacer le sous-traitant ou de remplacer un logiciel métier qui ne serait pas conforme ?

La démarche proposée, si elle est accompagnée face à des fournisseurs réticents ou qui méconnaissent la réglementation, d’un peu de pédagogie, nous paraît être une solution.

De plus pour votre propre démarche de conformité, vous serez en mesure de démontrer en cas de contrôle que vous avez entamé des diligences. Cependant si le fournisseur persiste, une réponse juridique adaptée devra être faite : outre le fait que le fournisseur se met en risque face à son client (manquement contractuel) il pourra être tenu responsable et sanctionné par la CNIL ou une autre autorité de contrôle compétente ; sachez que désormais vous avez également la possibilité, à compter du 25 mai prochain, de diligenter des audits de fournisseurs même en l’absence de clause contractuelle à ce titre.

[1] Règlement UE 2016/679 du 27 avril 2018

[2] S’ils y proposent des services ou des produits ou si les activités de traitement concernent du suivi de comportement au sein de l’UE.