Les contrats de sous-traitance de données personnelles ne peuvent se contenter de reproduire les dispositions du RGPD ; il doivent également inclure des informations plus spécifiques et concrètes sur la manière dont les conditions du respect du RGDP seront remplies et sur le niveau de sécurité requis pour le traitement de données à caractère personnel qui fait l’objet dudit accord de sous-traitance. 

Permettre la réalisation d’audits

Dans l’affaire Cityscoot, la CNIL a pu constater que la société a fait appel à quinze sous-traitants ayant un accès ou hébergeant des données à caractère personnel. Sur ces quinze contrats, plusieurs contrats ne contenaient pas toutes les mentions prévues par le RGPD. 

Les contrats ne prévoyaient que de manière générale les obligations de sécurité qui incombent au sous-traitant et ils n’évoquaient pas l’obligation du sous-traitant de mettre à disposition du responsable de traitement toutes les informations pour démontrer le respect des obligations prévues, permettre la réalisation d’audits et contribuer à ces audits. 

Procédure de suppression ou de renvoi des données à caractère personnel 

L’un des contrats ne prévoyait pas non plus de procédure de suppression ou de renvoi des données à caractère personnel du sous-traitant au responsable de traitement à échéance du contrat. Très lacunaire, ce contrat ne prévoyait ni l’objet du traitement, ni sa durée. Enfin, le contrat ne visait pas la catégorie de personnes concernées par le traitement.

La politique de durée de conservation des données et le sort des données à l’échéance du contrat font l’objet de deux mentions différentes par l’article 28, paragraphe 3 du RGPD. L’article 28, paragraphe 3, (g) prévoit que le contrat doit indiquer que le sous-traitant ” selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes “. Dès lors, cette mention doit donc être visée spécifiquement et séparément dans le contrat.

Pour rappel, dans ses lignes directrices 07/2020 du 7 juillet 2021 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, le CEPD affirme que ” tandis que les éléments visés à l’article 28 du règlement constituent le contenu essentiel du contrat, ce dernier devrait permettre au responsable du traitement et au sous-traitant de clarifier davantage la manière dont ces éléments essentiels seront mis en œuvre en recourant à des instructions détaillées. 

Par conséquent, l’accord de traitement ne doit pas se contenter de reproduire les dispositions du RGPD ; il doit inclure des informations plus spécifiques et concrètes sur la manière dont les conditions seront remplies et sur le niveau de sécurité requis pour le traitement de données à caractère personnel qui fait l’objet dudit accord ” (§ 112). 

Partant, les mentions visées à l’article 28, paragraphe 3 doivent non seulement figurer dans le contrat de sous-traitance, mais elles doivent également être suffisamment précises et détaillées pour permettre d’assurer un traitement conforme des données à caractère personnel. 

La clause « accountability » 

Concernant la  clause ” accountability « , si le contrat prévoit effectivement que le sous-traitant doit répondre aux questions du responsable de traitement et lui fournir, sur demande, tout document sollicité, il doit être indiqué expressément que le sous-traitant doit tenir à sa disposition toutes les informations pour permettre la réalisation d’audits et contribuer à ces audits.

La clause « security » 

La clause ” security “, qui prévoit que le sous-traitant met en place des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque, doit être assez précise. A titre d’illustration, dans ses lignes directrices 07/2020, le CEPD affirme que ” l’accord devrait éviter de se contenter de répéter ces obligations d’assistance et devrait contenir des précisions sur la manière dont le sous-traitant est invité à aider le responsable du traitement à remplir les obligations énumérées. 

Par exemple, des procédures et des formulaires types peuvent être joints en annexes à l’accord pour permettre au sous-traitant de fournir au responsable du traitement toutes les informations nécessaires […] le sous-traitant est d’abord tenu d’aider le responsable du traitement à respecter l’obligation d’adopter des mesures techniques et organisationnelles appropriées afin de garantir la sécurité du traitement. 

Bien que cela puisse, dans une certaine mesure, empiéter sur l’exigence selon laquelle le sous-traitant adopte lui-même des mesures de sécurité appropriées, lorsque les opérations de traitement du sous-traitant relèvent du champ d’application du RGPD, ces deux obligations demeurent distinctes, l’une se référant aux mesures propres au sous-traitant et l’autre à celles du responsable du traitement “. 

Or, seuls les objectifs de sécurité à atteindre étaient décrits, sans précision sur les moyens d’y parvenir, tels qu’une description des processus ou mécanismes développés dans des annexes au contrat. 

En l’absence de précision sur les moyens pour remplir l’obligation de mettre en place des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque, la CNIL a considéré que le contrat ne répondait pas aux exigences du RGPD.

Téléchargez cette décision

Consultez et Téléchargez la décision à l’origine de ce point juridique

Les sanctions CNIL ↗

Parcourez toutes les décisions de justice récentes rendues sur ce thème afin de sécuriser vos affaires

La législation applicable aux sanctions CNIL ↗

Restez informé(e) en retrouvant toute la législation applicable à ce thème juridique.

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*