Le Règlement général de protection des données personnelles précise les dispositions du contrat de sous-traitance.
La notion de sous-traitance (« data processing » en anglais) n’est pas modifiée par le nouveau texte européen. Ce qui change c’est la nature des obligations qui doivent se traduire par des engagements fermes dans le contrat cloud.
Sous-traitance et contrat : les dispositions du RGPD
Le sous-traitant (« data processor ») est celui qui traite des données à caractère personnel pour le compte de la personne, de la structure ou de l’organisme responsable du traitement (« data controller »).
Déjà présente dans la directive 95/46/CE du 24 octobre 1995, la définition de la sous-traitance a été reprise au point 8 de l’article 4 du Règlement. Avec le nouveau texte (1), de nouvelles obligations ont été mises à la charge de la sous-traitance. Elles visent à responsabiliser un peu plus cette catégorie d’acteurs, qui se trouve généralement chargée de manipuler de nombreuses données pour le compte du responsable du traitement.
L’article 28 §3 du RGPD prévoit de nouvelles obligations qui doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :
- l’objet et la durée du traitement de données à caractère personnel ;
- la nature et la finalité de ce traitement ;
- les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement.
Application au contrat cloud
Déclinées dans quelque contrat cloud (IaaS, PaaS, SaaS) que ce soit, les obligations précitées au titre de la sous-traitance pourront notamment se présenter comme suit :
- un article « déclarations » du responsable du traitement envers son sous-traitant mentionne toutes les informations utiles sur la finalité du traitement de données à caractère personnel réalisé à partir des moyens fournis par le prestataire cloud ;
- l’article « instructions » précise comment le client formule ses directives au prestataire et les modalités selon lesquelles il doit les prendre en compte ;
- l’article « sécurité » : présente, en lien avec une annexe plan d’assurance sécurité, la politique de sécurité physique et logique déployée par le prestataire cloud outre les mesures applicables en cas d’intrusion frauduleuse (« data breach process ») ;
- la coopération du sous-traitant doit être prévue pour que la personne concernée par le traitement (« data subject ») puisse exercer ses droits ;
- les conditions d’intervention d’un sous-traitant au sous-traitant doivent aussi être prévues au contrat ;
- l’article « confidentialité » ne doit pas concerner seulement les propres salariés du prestataire mais doit comporter un engagement de porte-fort envers les éventuels autres sous-traitants ou free-lance mobilisés par le prestataire cloud dans l’exécution de ses obligations ;
- des articles sur l’obligation d’information du prestataire (et pas seulement en cas d’intrusion) et les modalités d’audit sont également nécessaires au regard de l’article 28 commenté ;
- la localisation des données dans ou hors Union européenne impliquera dans ce dernier cas, si le pays concerné n’est pas considéré comme ayant un niveau de protection adéquat (voir pour les Etats-Unis le dispositif du Eu-Us privacy shield (2)), alors il convient de conclure des clauses contractuelles types (3) ;
- des précisions sur la fin des relations contractuelles et la destruction des données dans le cloud.
Sans préjudice des dispositions du contrat, l’article 28 du Règlement permet au sous-traitant d’adhérer à un code de conduite visé à l’article 40 ou à un mécanisme de certification (article 42) pour démontrer qu’il possède les garanties suffisantes (article 28§5).
Malgré de telles dispositions contractuelles ou certification, il arrivera, comme cela est déjà le cas fréquemment actuellement, que le prestataire cloud gère de manière quasi-autonome les données qui lui sont confiées. Au sens du RGPD, si la qualification de responsable du traitement peut difficilement être attribuée au prestataire, une responsabilité conjointe (« joint-controller ») au sens de l’article 26 du Règlement pourra être retenue. Plutôt que de laisser une autorité de contrôle effectuer une telle requalification de sous-traitance en responsabilité conjointe de traitement, les parties peuvent être inspirées de retenir par elles-mêmes cette qualification en concluant un contrat correspondant mieux au réel partage de responsabilités.
Eric Le Quellenec
Lexing Droit Informatique
(1) Règlement 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).
(2) Céline Avignon, Post du 13-7-2016.
(3) Lexing Alain Bensoussan Avocats, Post du 7-12-2016.