Le RGPD envisage de manière claire les droits et obligations du sous-traitant de rang 2 avec des enjeux contractuels forts.
Les architectures techniques dans le cloud sont complexes et font régulièrement intervenir des sous-traitants (« data processor » en anglais) à plusieurs niveaux. Lorsque des données personnelles sont traitées dans le cloud, le RGPD (1) pose une exigence de transparence forte.
Sous-traitant de rang 2 : information – acceptation
L’article 28, §2 et 4 du RGPD traitent directement du sous-traitant de rang 2.
Le responsable du traitement (« data controller ») doit obtenir l’autorisation écrite préalable lorsque son sous-traitant entend confier tout ou partie de la mission qui lui est confiée à un sous-traitant de rang 2.
Même après acceptation formelle, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par le sous-traitant de rang 2 de ses obligations. Ces obligations sont transposables aux sous-traitants de rang supérieur (du troisième rang et au-delà).
Le contrat entre sous-traitants
Le contrat entre sous-traitants doit a minima transposer les obligations du contrat prises vis-à-vis du responsable du traitement. En pratique, cette transposition est souvent qualifiée de contrat « back to back ».
Il est donc nécessaire de retrouver les prescriptions de l’article 28, §3 du RGPD, à savoir principalement :
- l’objet et la durée du traitement de données à caractère personnel ;
- la nature et la finalité de ce traitement ;
- les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement.
Déclinées dans quelque contrat cloud (IaaS, PaaS, SaaS) que ce soit, les obligations précitées au titre de la sous-traitance pourront notamment se présenter comme suit :
- un article « déclarations » dans lequel le sous-traitant de rang 2 est informé de la finalité du traitement fixée par le responsable du traitement, lequel est réalisé à partir des moyens fournis par les prestataires cloud ;
- l’article « instructions » précise comment les directives sont transmises d’un prestataire à l’autre et les modalités selon lesquelles ils doivent les prendre en compte ;
- l’article « sécurité » présente, en lien avec une annexe plan d’assurance sécurité, la politique de sécurité physique et logique déployée par les prestataires cloud outre les mesures applicables en cas d’intrusion frauduleuse (« data breach process ») ;
- la coopération entre sous-traitants doit être prévue pour que la personne concernée par le traitement (« data subject ») puisse exercer ses droits ;
- l’article « confidentialité » ne doit pas concerner seulement les propres salariés du prestataire mais doit comporter un engagement de porte-fort envers les éventuels autres sous-traitants ou free-lance mobilisés par le prestataire cloud dans l’exécution de ses obligations ;
- des articles sur l’obligation d’information (et pas seulement en cas d’intrusion) et les modalités d’audit sont également nécessaires au regard de l’article 28 du DPO ;
- la localisation des données dans ou hors de l’Union européenne impliquera dans ce dernier cas, si le pays concerné n’est pas considéré comme ayant un niveau de protection adéquat (voir pour les Etats-Unis le Bouclier de protection des données EU-Etats-Unis (2)), alors il convient de conclure des clauses contractuelles types (3) ;
- des précisions sur la fin des relations contractuelles et la destruction des données dans le cloud.
Le contrat entre le sous-traitant de rang 2 et de rang 3, par exemple, devra également répondre à ces prescriptions.
Sous-traitants de rang 2 et allègement du contrat
Pour que le contrat du sous-traitant de rang 2 ne devienne pas illisible, il est envisageable de renvoyer les obligations du RGPD rappelées plus haut dans une annexe dédiée.
Mais, en réalité, la seule solution efficace pour simplifier le contrat est d’obtenir une certification.
En effet, le sous-traitant de rang 2, comme celui de rang 1, pourra être certifié. Sans préjudice des dispositions du contrat, l’article 28 du RGPD permet au sous-traitant d’adhérer à un code de conduite visé à l’article 40 ou à un mécanisme de certification (article 42) pour démontrer qu’il possède les garanties suffisantes (article 28, §5). Les clauses du contrat correspondant n’auront ainsi pas à être autant détaillées, du moins tant que la certification reste applicable à chacun des sous-traitants.
Eric Le Quellenec
Lexing, Département informatique conseil
(1) Règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).
(2) C. Avîgnon, « La décision d’adéquation pour l’EU-US Privacy Shield », Alain-Bensoussan.com 13-7-2016.
(3) C. Torres, « Les BCR sous-traitants, un instrument d’encadrement des flux », Alain-Bensoussan.com 7-12-2016.