Le Big Data – Point Juridique



MENU


Big Data et Traitement de données à l’ère du RGPD

Que doit-on savoir sur la sous-traitance du traitement de données à l’ère du RGPD ?
Peut-on sous-traiter le traitement de données ?
Quels sont ces critères ?
Relations par contrat
Le choix du sous-traitant
Les dispositions contractuelles régissant leurs relations
Prendre toutes les mesures de sécurité
Contrat clauses de type BCR
Quels sont les avantages et les inconvénients des BCR ?

Modèle de contrat de sous-traitance de données

Contrat de sous-traitance de données personnelles



Big Data et Traitement de données à l’ère du RGPD


Le traitement de données est une tâche que les entreprises peuvent sous-traiter. Cependant, les relations contractuelles entre responsable de traitement et sous-traitant sont régies par des règles strictes. Dans l’Union européenne, le RGPD a apporté d’importants changements à ces règles.

Que doit-on savoir sur la sous-traitance du traitement de données à l’ère du RGPD ?

Dans tous les secteurs d’activité et plus spécifiquement dans les banques, les sociétés d’assurance et les sociétés de gestion ; de plus en plus d’entités collectent et traitent des données. Les ”données” peuvent apporter de nombreux avantages. Elles peuvent notamment permettre de mieux comprendre la clientèle et la concurrence, l’environnement économique ou encore de repérer les problèmes qui freinent la croissance de l’entreprise.

Cependant, le traitement de données dans le cadre du Big Data requiert des compétences techniques dont les entreprises ne disposent pas toujours en interne et de manière permanente. C’est la raison pour laquelle un grand nombre d’organisations optent pour la sous-traitance des ces tâches. Pour tout savoir sur les relations contractuelles entre responsable de traitement de données et sous-traitant, nos consultants Xénium-Partners se sont renseignés

Peut-on sous-traiter le traitement de données ?

La réponse à cette question est affirmative. Le responsable de traitement peut travailler avec un sous–traitant au même titre qu’un autre responsable de traitement. Dans ce cas, le contrat qui va être conclu avec ces partenaires va produire un effet obligatoire entre les parties.

Cependant, le fait pour un responsable de traitement d’avoir recours à un sous-traitant ne le dispense pas de respecter des règles spécifiques qui pourront être complétées par d’autres textes. L’application du RGPD a une forte influence sur les relations entre les responsables de traitement (le data controller) et sous – traitant (les data processor). L’article 4.8 du RGPD définit le sous-traitant comme étant :

… qui traite des données à caractère personnel pour le compte du responsable du traitement.

À titre d’exemple, quelles sont les données qu’un responsable de traitement peut faire sous-traiter à son sous-traitant ?

Ce peut être une activité simple, comme la réalisation de certaines opérations comptables, ou plus complexe, comme la gestion d’une base de données pour la Business Intelligence par le Big Data. De même, les prestataires de services informatiques, tels que les fournisseurs d’hébergement, les prestataires de sécurité informatique, interviennent à titre de sous-traitants et sont donc soumis à la RGPD.

Cela revient à dire qu’à chaque fois qu’une société externalise une partie de ses activités, le prestataire externe intervient comme sous-traitant de cette société du point de vue des données personnelles.

Pour conclure, nous pouvons répondre par l’affirmative à cette question sous réserve d’un certain nombre de critères pour que le prestataire puisse être qualifié de sous-traitant.

Quels sont ces critères ?

À ce titre, le G29 a établi une liste d’indices, non limitative, qui a été reprise pour partie par la CNIL, qui a permis de faciliter la qualification dans chaque cas, cette liste n’étant pas exhaustive :

  1. 1. Le degré d’instruction donné par le prestataire au client permettant de déterminer l’autonomie du prestataire dans sa prestation,
  2. 2. Le degré de contrôle de l’exécution de la prestation par le client,
  3. 3. Le degré d’expertise du prestataire permettant de mesurer sa valeur ajoutée.
  4. 4. Le degré de transparence du responsable pour les personnes concernées sur le recours à prestataire.

Comme indiqué préalablement, il est primordial que la relation entre un responsable de traitement et son sous-traitant soit encadrée juridiquement par un contrat et respecte un certain nombre de dispositions que nous allons voir.

Quels sont les éléments importants d’une relation contractuelle entre responsable de traitement et sous-traitant ?

Relations par contrat


Le RGPD impose que la sous-traitance soit régie par un contrat ou un autre acte juridique contraignant. Le contrat ou l’acte juridique doit être écrit et il doit définir l’objet, la nature, la finalité, la durée du traitement, le type de données à caractère personnel et les catégories de personnes concernées, ainsi que les obligations et les droits du responsable du traitement. Il doit également stipuler certaines obligations du sous-traitant qui sont imposées par l’article 28 du RGPD.

Ainsi qu’il a été précisé préalablement, le sous-traitant doit être une personne juridique distincte du responsable du traitement. Agir pour le compte du responsable revient à exécuter les instructions données par le responsable du traitement au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens.

Le sous–traitant était alors à l’abri des sanctions infligées par les autorités de contrôle. Ce qui n’est plus le cas avec le RGPD qui institue une chaîne de responsabilité entre le responsable de traitement et son sous-traitant.

Le règlement tend en effet à rééquilibrer la relation entre les deux opérateurs en mettant des obligations directement à la charge des sous-traitants et en renforçant leurs obligations contractuelles. Ce qui nécessite dès lors de bien cadrer les relations contractuelles les liant afin de limiter la responsabilité de chacun d’une part, mais également dans la prise en charge du montant de la sanction qui pourra être éventuellement prononcé par l’autorité de contrôle. Par conséquent, deux éléments primordiaux devront régir les relations contractuelles entre un responsable de traitement et son sous-traitant.

Le choix du sous-traitant


Aux termes du règlement, le responsable du traitement ne peut faire appel qu’ « à des sous – traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » tel que défini au sens de l’article 28 du RGPD.

Ce qui revient à dire que le responsable de traitement devra veiller à vérifier les qualités de son sous-traitant, s’assurer aussi qu’il est capable de prendre les mesures nécessaires à la protection de la personne concernée. Il ne doit pas garantie au sens juridique du terme, mais sa responsabilité pourrait probablement être engagée par une personne concernée en cas de violation de ses droits par le sous-traitant s’il apparaît que le responsable a été négligent dans son choix, qu’il ne s’est pas assuré que son sous-traitant était à même, selon les règles de l’art, de répondre à toutes les exigences nécessaires en vue de la conformité du traitement à la loi.

Il est extrêmement important que le responsable de traitement veille à ce que son sous-traitant soit régi par un code de conduite qui soit approuvé ou d’un mécanisme de certification approuvé qui puissent démontrer l’existence de garanties suffisantes conformément aux dispositions de l’article 28.5 du RGPD ainsi qu’à ses paragraphes 1 et 4.

Comme il vient d’être indiqué, un des éléments importants dans cette relation contractuelle est le choix et les critères ainsi que les garanties qu’offre un sous–traitant. Le second élément primordial dans la relation entre les parties consiste bien évidemment dans les dispositions contractuelles qui vont régir les relations de ces derniers.

Les dispositions contractuelles régissant leurs relations


Nous avons vu que le premier élément préalable de la relation contractuelle entre les deux parties consistait tout d’abord dans le choix par le responsable de traitement de son sous-traitant et les garanties que celui-ci pouvait lui offrir. Le second élément qui est primordial est le contenu des dispositions contractuelles régissant les relations des parties que nous allons aborder.

Cette relation doit être scellée par un contrat écrit soit sur support papier ou encore sous forme électronique. Ledit contrat devra nécessairement préciser que le sous–traitant :

Ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts des données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il n’y soit tenu d’y procéder en vertu du droit de l’Union européenne ou du droit de l’état membre auquel le sous–traitant est soumis.Dans cette hypothèse, le sous-traitant devra informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

Veiller à ce que ces personnes autorisées à traiter les données à caractère personnel (salariés, consultants, entre autres) s’engagent à respecter une stricte confidentialité ou bien soient soumises à une obligation légale appropriée de confidentialité.

Prendre toutes les mesures de sécurité

Prendre toutes les mesures de sécurité requises en vertu de larticle 32 du RGPD.

Respecter certaines conditions lorsqu’il entend recruter un autre sous–traitant et ces conditions doivent clairement être spécifiées au contrat notamment au travers de l’obtention de l’accord express du responsable du traitement et le sous–traitant de second rang devra bien évidemment présenter les mêmes gages de garantie que le sous–traitant de premier rang.

Apporter son aide au responsable du traitement par tous moyens à s’acquitter de son obligation de donner suite aux demandes des personnes concernées.

Il doit aider le responsable du traitement quant à la sécurité des données, notification en cas de violation des données et analyse d’impact relative à la protection des données compte tenu de la nature du traitement et des informations à la disposition du traitement. Ces obligations étant prévues dans les articles 32 à 36 du RGPD.

Il doit être prévu qu’à la fin de sa mission, le sous-traitant devra supprimer toutes les données à caractère personnel mises à sa disposition par le responsable de traitement ou bien les lui renvoyer après avoir détruit les copies existantes. Il est vivement recommandé de faire signer une décharge en ce cas pour plus de sécurité juridique.

Enfin, le sous–traitant devra mettre à la disposition du responsable du traitement, et ce de manière permanente toutes les informations pertinentes et nécessaires pour lui démontrer qu’il respecte parfaitement toutes les obligations qui lui sont imparties. De même, il devra rédiger de bonne foi des audits tels que demandés par le responsable de traitement. Il devra nécessairement agir de manière proactive et tenir informé le responsable de traitement s’il estime que l’une de ses instructions constitue une violation du règlement ou encore d’autres dispositions du droit de l’Union ou de droit des Etats membres relatives à la protection des données.

Voici quelques dispositions contractuelles qui nous apparaissaient importantes d’aborder dans le cadre des relations devant régir les relations entre un responsable de traitement avec son sous-traitant. De même, les contrats en cours, c’est-à-dire les contrats qui auront été conclus avant la mise en vigueur du RGPD au 25 mai dernier, devront être revus et rendus compatibles avec ces dispositions.

Enfin, nous pouvons illustrer notre propos par une décision de la CNIL en date du 18 juillet 2017 à l’encontre de la société HERTZ France où cette dernière a été condamnée à une sanction pécuniaire de 40.000€ en ce qui concerne un manquement de sécurité et non d’une atteinte aux données personnelles. Cette atteinte avait un caractère non-intentionnel, mais accidentel. Il s’agissait d’une erreur de programmation lors d’une programmation de maintenance « suppression accidentelle d’une ligne de code lors d’un changement de serveur ». Il sera très intéressant de voir quelles vont être les futures décisions en cette matière.

Quelles sont les clauses contractuelles types

Contrat clauses de type BCR


Les clauses contractuelles types « entreprise contraignantes » (BCRBinding Corporate Rules) sont les clauses qui régissent les transferts entre les responsables de traitements ou les responsables de traitements et les sous – traitants. La nouveauté avec le RGPD, c’est que ces clauses ne font plus l’objet de démarches auprès de la CNIL.

Ces clauses sont évoquées à l’article 46-2 c-d : « Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par :

a) Des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2 ;
b) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2 .

Ces clauses peuvent donc être adoptées par la Commission ou encore par une autorité de contrôle. Elles peuvent être reprises dans les contrats. Ainsi, la Commission a pris une décision le 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous – traitants établis dans des pays tiers en vertu de la Directive 95/46/CE du Parlement Européen (PDF) et du Conseil.

La CNIL a proposé des clauses contractuelles de sous–traitance : CNIL-RGPR guide sous traitant .

Il sera intéressant de suivre les évolutions et préconisations des institutions dans le temps.

Les règles d’entreprise contraignantes ou BCR (BINDING CORPORATE RULES) sont régies par l’article 47 du RGPD. Elles sont définies par le RGPD comme étant : « Les règles internes relatives à la protection des données à caractère personnel qu’applique un responsable de traitement ou un sous–traitant établi sur le territoire d’un état membre pour des transferts ou un ensemble de transferts de données à caractère personnel à un responsable de traitement ou un sous – traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe »

Ce sont donc des règles internes qui régissent entre autres les transferts de données à caractère personnel vers les pays tiers à l’Union européenne au sein d’un groupe d’entreprises. Les BCR peuvent être également qualifiées de code de conduite qui définit la politique en matière de transferts de données pour chaque entité du groupe et pour les employés (Article 47-1 a).

Aux termes de cet article : « L’autorité de contrôle compétente approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence prévu à l’article 63, à condition que :

a) Ces règles soient juridiquement contraignantes, et soient mises en application par toutes les entités concernées du groupe d’entreprises ou du groupe d’entreprises engagées dans une activité économique conjointe, y compris leurs employés
b) Elles confèrent expressément aux personnes concernées des droits opposables en ce qui concerne le traitement de leurs données à caractère personnel
c) elles répondent aux exigences prévues au paragraphe 2

Les BCR peuvent être utilisées pour un ensemble d’entreprises qui participent à une activité économique conjointe et pas liée à une même tête de groupe. Les BCR peuvent être adoptées par l’Autorité de contrôle chef de file pour encadrer des transferts effectués par un groupe en tant que responsable de traitement ou sous – traitant. Pour les Multinationales dont certaines filiales n’auraient pas le niveau adéquat en matière de données personnelles, les BCR sont une bonne solution.

Les BCR définissent et garantissent les principes généraux :

  1. Limitation des finalités,
  2. Minimisation dans la collecte des données,
  3. Mise en place des mesures de sécurités appropriées techniques et organisationnelles,
  4. Garantie des droits des personnes concernées,
  5. Définition et mise en place d’audits,
  6. Garantie la constante communication avec l’Autorité de contrôle chef de file,
  7. La formation sur la protection des données personnelles dans toutes les entités couvertes par les BCR.

Quels sont les avantages et les inconvénients des BCR ?


Les BCR constituent un contrat entre deux parties et doivent donc être signées par toutes les entités juridiques qui adhèrent totalement ou partiellement pour qu’elles soient applicables. Un registre associé au registre des traitements devra être tenu, pour identifier les Entités d’un groupe adhérentes et leur niveau d’adhésion (Accountability).

Il apparait judicieux d’illustrer cette définition de quelques exemples concrets.

La CNIL a autorisé de nombreux transferts à la suite d’adoptions de telles règles (BCR) (Délibérations CNIL n°2015-137 en date du 7 mai 2015, JORF n°0138, 17 juin ; délibération CNIL n°2016-038, 18 février 2016, JORF n°0048 26 février 2016. Il est fortement conseillé aux responsables de traitements et sous-traitants de les consulter à titre d’information et de support.

Enfin, le G29 avait publié en son temps des informations sur les règles à respecter dans le cadre de ces règles d’entreprise contraignantes. Pour conclure, le 6 février 2018, donc très récemment, le G29 a adopté le « working document on binding corporate rules for processors » qui illustre l’intérêt de ces règles.

Modèle de contrat de sous-traitance de données

Ndlr : Un grand merci à notre conseil juridique pour cette partie.

RGPD – Modèle de contrat de sous-traitance de données personnelles (article 28 du RGPD)

Le modèle de contrat de sous-traitance qui suit répond aux exigences de l’article 28 du RGPD. C’est un un modèle conçu pour être simple, qui comporte les mentions obligatoires et seulement quelques autres clauses essentielles (garanties du responsable du traitement, durée du contrat, droit applicable, compétence juridictionnelle). À dessein, ce modèle simple s’éloigne le moins possible du texte officiel (RGPD). Il doit être complété en fonction des besoins, le cas échéant. Comme toujours, il doit être vérifié et adapté à chaque situation particulière par une personne juridiquement compétente



Contrat de sous-traitance de données personnelles

Introduction

Le présent contrat est conclu entre les entités désignées ci-dessous.

Société XXX [identification],
ci-après désigné le responsable du traitement.

Société YYY[identification],
ci-après désigné le sous-traitant.

Préambule

XXX [dénomination] est responsable d’un traitement de données personnelles régi par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Ce règlement est ci-après désigné le RGPD.

Le traitement de données personnelles est également régi par la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée).

Le responsable du traitement souhaite confier au sous-traitant un traitement de données personnelles, conformément à l’article 28 du RGPD. Les parties s’engagent à se conformer strictement au RGPD, qui s’appliquera en toute circonstance, nonobstant toute éventuelle stipulation contraire.

Déclaration du sous-traitant

Le sous-traitant déclare qu’il présente les garanties nécessaires quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.

Caractéristiques du traitement de données personnelles

Le responsable du traitement en définit comme suit les caractéristiques.

Objet du traitement – Le traitement a pour objet OOO [objet du traitement].

Durée du traitement – Le traitement est effectué à compter du DD/MM/AAAA [date], jusqu’au DD/MM/AAAA [date].

Nature et finalité du traitement – NNN [compléter].

Type de données à caractère personnel – PPP [liste à compléter].

Catégories de personnes concernées – CCC [compléter].

Obligations et droits du responsable du traitement

Le responsable du traitement détermine les finalités et les moyens du traitement de données personnelles.

Le responsable du traitement garantit que le traitement est licite et que les données personnelles sont collectées et traitées par ses soins conformément au RGPD et à la loi française. Le responsable du traitement garantit en particulier qu’il fournit les informations requises aux personnes concernées par les opérations de traitement, au moment de la collecte de données lorsque des données à caractère personnel sont collectées auprès de la personne concernée, ou dans les délais requis lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, conformément aux articles 12 à 14 du RGPD. Le responsable du traitement garantit le sous-traitant contre les conséquences d’un éventuel manquement du responsable du traitement à ses obligations au titre du RGPD.

Le responsable du traitement communiquera au sous-traitant toutes les informations nécessaires pour lui permettre d’effectuer ses services en conformité avec le RGPD et la loi française.

Obligations du sous-traitant

Le sous-traitant ne détermine en aucun cas les finalités et les moyens du traitement. À défaut, il est considéré comme un responsable du traitement pour ce qui concerne le traitement concerné.

Le sous-traitant et toute personne agissant sous son autorité ayant accès à des données à caractère personnel, ne peuvent pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligés par le droit de l’Union européenne ou le droit d’un État membre.

Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers à l’Union européenne ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union européenne ou du droit de l’État membre de l’Union européenne auquel le sous-traitant est soumis ; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

Le sous-traitant prend toutes les mesures requises en vertu de l’article 32 du RGPD.

Le sous-traitant tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées par le traitement le saisissent en vue d’exercer leurs droits prévus au chapitre III du RGPD.

Le sous-traitant aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant.

Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du RGPD ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

Conservation et destruction des données

Selon le choix du responsable du traitement, le sous-traitant supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union européenne ou le droit applicable d’un État membre n’exige la conservation des données à caractère personnel.

Audit

Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent contrat et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Autre sous-traitant

Le sous-traitant respecte les conditions suivantes pour recruter un autre sous-traitant.

Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le présent contrat, sont imposées à cet autre sous-traitant par contrat ou le cas échéant au moyen d’un autre acte juridique au titre du droit de l’Union européenne ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

Durée

Le présent contrat sera en vigueur pendant toute la durée de détention des données personnelles par le sous-traitant. Il régira la sous-traitance des données personnelles visées ici, à toute époque y compris après son terme.

Droit applicable et clause attributive de compétence

Le présent contrat est soumis au droit français et à la compétence exclusive des juridictions territorialement compétentes pour la ville de VVV [ville], France.




Fin de cette étude.

Merci pour votre lecture



Retour