Règlement européen sur la protection des données personnelles : tous les contrats de sous-traitance doivent être modifiés avant le 25 mai 2018

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Avocat

Guide du sous-traitant (Edition Sept. 2017 – CNIL)

La CNIL a édité un guide pratique à destination des sous-traitants en septembre dernier afin de les accompagner dans la mise en œuvre des nouvelles obligations imposées par le règlement européen en matière de protection des données personnelles (le « Règlement »).

Ce qu’il faut retenir : La CNIL a édité un guide pratique à destination des sous-traitants en septembre dernier afin de les accompagner dans la mise en œuvre des nouvelles obligations imposées par le règlement européen en matière de protection des données personnelles (le « Règlement »). L’occasion pour la Commission de rappeler la nécessité de revoir l’ensemble des contrats conclus entre responsables et sous-traitants avant l’entrée en vigueur du Règlement.

Pour approfondir :

1) Qui est « Sous-traitant » ?

Est qualifié de sous-traitant – au sens du Règlement – toute personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement qui détermine les finalités et les moyens d’un traitement.

Ainsi, dès lors qu’une partie réalise une quelconque opération de traitement portant sur des données à caractère personnel telle que la saisie de ces données, leur hébergement, classement ou encore leur communication pour le compte et sur instruction de son donneur d’ordre, elle sera qualifiée de sous-traitant.

2) Quelles sont les nouvelles obligations ?

A l’aune de la loi Informatique et Libertés, les obligations des sous-traitants restent limitées dans la mesure où l’ensemble des obligations de la loi ne s’impose qu’aux responsables de traitement.

Ces derniers ont notamment l’obligation de conclure un contrat avec leurs sous-traitants afin de les obliger à assurer la sécurité et la confidentialité des données et prévoir leur intervention dans le strict périmètre des instructions qu’ils reçoivent. Toutefois, ils ne sont jamais déchargés de leurs obligations et restent responsables des manquements à l’obligation de sécurité même en cas de défaillance de leur sous-traitant.

Le Règlement, qui entrera en vigueur le 25 mai 2018, consacre désormais la responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles et particulièrement la responsabilité directe et spécifique des sous-traitants.

Ainsi, les sous-traitants ont désormais l’obligation :

  • de présenter « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen) ;
  • d’assister et de conseiller le responsable de traitement pour répondre à ses obligations prévues par le Règlement, notamment en matière de poursuite d’analyses d’impact, de notification de violation ou encore de réalisation d’audits ;
  • d’assister, d’alerter et de conseiller le responsable de traitement si une instruction constitue une violation des règles en matière de protection des données.

3) Que faut-il donc faire ?

Dans son nouveau guide, la CNIL conseille avant tout de vérifier si la désignation d’un délégué à la protection des données est requise.

En effet, celui-ci étant chargé de piloter la conformité au Règlement, sa désignation permettra de définir les différents chantiers de mise en conformité à mettre en œuvre.

Dans un second temps, responsables de traitement et sous-traitants doivent analyser et réviser leurs contrats.

S’il n’existait jusqu’alors aucun formalisme, les contrats entre responsables et sous-traitants doivent désormais définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

En outre, ces contrats doivent nécessairement contenir des mentions obligatoires relatives aux caractéristiques du traitement et aux obligations du sous-traitant.

En conséquence, au jour de l’entrée en vigueur du Règlement, tous les contrats de sous-traitance en cours d’exécution vont devoir comprendre l’ensemble de ces mentions obligatoires et prévoir une nouvelle répartition des rôles et des responsabilités entre les acteurs du traitement.

Tout manquement à ce formalisme est passible de sanctions pécuniaires à l’encontre des responsables de traitement et des sous-traitants, pouvant atteindre 10 000 000 euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Il est donc vivement recommandé à tous les acteurs d’un traitement d’anticiper ces nouvelles obligations en intégrant dès à présent, par voie d’avenant, les clauses obligatoires en prévoyant qu’elles ne seront opposables qu’à compter du 25 mai 2018.

A rapprocher : Articles 28 et 83 du Règlement (UE) 2016/679 Du Parlement Européen et du Conseil du 27 avril 2016

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.