I. Introduction

Si je devais dire quelle peut être la hantise par excel­lence d’un respon­sable du trai­te­ment, je dirais sans hési­ter la « hantise du sous-traitant ».

Malheureusement, encore trop peu d’entreprises collec­tant puis parta­geant des données person­nelles réalisent à quel point leurs sous-trai­tants les rendent vulné­rables. Certains diri­geants vision­naires, ne voulant pas trop inves­tir sur le sujet, préfèrent « se grat­ter quand ça pique », lorsque d’autres sont rassu­rés par l’idée fragile d’avoir signé un contrat dédiant une clause de deux lignes où le sous-trai­tant s’engage à respec­ter les exigences légales appli­cables en matière de protec­tion des données.

Pour ces amateurs de sensa­tions fortes, la ques­tion n’est plus de savoir s’ils auront un jour de gros ennuis, mais quand ils y feront face. Pour tous les autres, l’alternative se résume donc à « maîtri­ser » leurs sous-traitants.

Je propose d’aborder ici briè­ve­ment trois moments clés de la gestion des sous-trai­tants qui, à défaut de réduire le risque à zéro, permet­tront de prou­ver à quel point le respon­sable du trai­te­ment a pris ce sujet très au sérieux. Il est impor­tant de souli­gner que les conseils parta­gés ici sont le fruit de mon expé­rience person­nelle dans le domaine de la gestion des sous-trai­tants. Dans certaines circons­tances, les lois sur la protec­tion des données offrent une certaine marge de manœuvre au respon­sable du trai­te­ment, sans défi­nir forcé­ment les actions à entre­prendre. Il peut donc être néces­saire d’adopter une vision plus large afin d’assurer la conformité.

II. Moments clés de la gestion des sous-traitant

A. Inventaire de sous-traitants

Tout respon­sable du trai­te­ment doit impé­ra­ti­ve­ment dres­ser et tenir à jour un inven­taire exhaus­tif des sous-trai­tants qui inter­viennent dans ses trai­te­ments de données. En fonc­tion de la taille de l’entreprise et des pays dans lesquels elle opère et sous-traite, cet inven­taire peut s’avérer aussi diffi­cile à réali­ser qu’à main­te­nir, mais consti­tue le point de départ inévi­table de ce chan­tier gigantesque.

Une fois les sous-trai­tants iden­ti­fiés, il s’agira ensuite d’établir préci­sé­ment quelles sont les caté­go­ries de données person­nelles parta­gées, les fina­li­tés qui justi­fient leur trai­te­ment ou encore la façon dont elles sont parta­gées. Ces éléments d’information essen­tiels, mais non exhaus­tifs, parti­cipent à la construc­tion de l’outil central permet­tant de pilo­ter et démon­trer la confor­mité aux exigences légales en matière de protec­tion des données, à savoir le registre des acti­vi­tés de trai­te­ment, que le respon­sable du trai­te­ment est tenu de réali­ser sous certaines conditions.

La créa­tion de ce registre et sa mise à jour sont étroi­te­ment liées à la capa­cité de hiérar­chi­ser les risques pour les personnes concer­nées (colla­bo­ra­teurs, clients exis­tants ou poten­tiels, etc.) rela­tifs aux trai­te­ments de données réali­sés. Une fois ces risques iden­ti­fiés et évalués, le respon­sable du trai­te­ment est à même d’implémenter les mesures indis­pen­sables pour maîtri­ser ces risques, qu’elles soient admi­nis­tra­tives, tech­niques, mana­gé­riales ou légales, et ainsi proté­ger la vie privée des personnes concer­nées. À défaut d’implémenter lui-même, le délé­gué à la protec­tion des données peut, à tout le moins, être l’initiateur de cette implémentation.

En toute hypo­thèse, comment faire cela concrè­te­ment ? Grâce à l’efficace outil qu’est l’analyse d’impact rela­tive à la protec­tion des données (AIPD). Lorsqu’elle est réali­sée en bonne et due forme et qu’elle implique toutes les parties prenantes, sous-trai­tants inclus, elle permet de construire un trai­te­ment conforme aux exigences légales en matière de protec­tion des données et surtout respec­tueux de la vie privée des personnes concernées.

La grande ques­tion-réflexe récur­rente au sujet de l’AIPD est : Sommes-nous vrai­ment obli­gés de la réali­ser ? Il s’agit là d’une ques­tion tendancieuse.

Voici comment les Lignes direc­trices du G29 répondent à cette question :

« Le RGPD exige des respon­sables du trai­te­ment qu’ils mettent en œuvre des mesures appro­priées pour assu­rer et être en mesure de démon­trer la confor­mité de leurs opéra­tions avec les dispo­si­tions du règle­ment, en tenant compte notam­ment « des risques, dont le degré de proba­bi­lité et de gravité varie, pour les droits et liber­tés des personnes physiques » (article 24, para­graphe 1). […] Conformément à l’approche par les risques préco­ni­sée par le RGPD, il n’est pas obli­ga­toire d’effectuer une AIPD pour chaque opéra­tion de trai­te­ment. Ainsi, une AIPD n’est requise que lorsqu’un type de trai­te­ment est « suscep­tible d’engendrer un risque élevé pour les droits et liber­tés des personnes physiques » (article 35, para­graphe 1). 

S’il s’arrête là, le respon­sable du trai­te­ment aura tendance à limi­ter au maxi­mum la réali­sa­tion de cet exer­cice fonda­men­tal qu’est l’AIPD. C’est pour­quoi je conseille vive­ment de lire la réponse complète, qui pour­suit en précisant :

« Le simple fait que les condi­tions déclen­chant l’obligation d’effectuer une AIPD ne soient pas remplies ne restreint toute­fois pas l’exigence géné­rale faite aux respon­sables du trai­te­ment de mettre en œuvre des mesures pour gérer de manière appro­priée les risques pour les droits et liber­tés des personnes concer­nées. Concrètement, cela signi­fie que les respon­sables du trai­te­ment sont tenus d’évaluer de manière conti­nue les risques créés par leurs acti­vi­tés de trai­te­ment dans le but d’identifier quand un type de trai­te­ment est ‘’suscep­tible d’engendrer un risque élevé pour les droits et liber­tés des personnes physiques’’ ».

Mon expé­rience en matière d’AIPD révèle que c’est souvent en effec­tuant l’AIPD que l’on est capable de discer­ner avec certi­tude si un trai­te­ment de données person­nelles analysé engendre réel­le­ment un risque élevé pour les personnes concer­nées ou pas. En résumé, dans le doute et même si les critères d’obligation ne l’exigent pas, il vaut mieux effec­tuer l’AIPD. À noter fina­le­ment qu’en Suisse, le seuil légal de réali­sa­tion d’une AIPD est le même confor­mé­ment à l’art. 22 LPD. Le PFPDT a eu l’occasion de se déter­mi­ner à ce sujet dans le cadre d’un aide-mémoire.

Ce qui précède doit impé­ra­ti­ve­ment aider les entre­prises à ne pas amal­ga­mer « illi­céité » et « insé­cu­rité ». La vraie ques­tion n’est pas de savoir si c’est légal ou non de se priver d’une AIPD, mais plutôt de s’assurer que le trai­te­ment de données n’engendre pas un risque pour les personnes qui nous confient leurs données person­nelles. Se limi­ter stric­te­ment aux condi­tions légales ne suffit pas toujours ; une approche globale de la protec­tion des données, inté­grant par exemple les bonnes pratiques de la sécu­rité de l’in­for­ma­tion, peut se révé­ler essentielle

J’ai constaté au fil des ans que beau­coup de respon­sables du trai­te­ment adhèrent à l’exigence de mise en confor­mité pour les mauvaises raisons. Un peu comme ces conduc­teurs auto­mo­biles qui, au moment de boucler leur cein­ture de sécu­rité, craignent plus l’amende que le pare-brise.

S’assurer que la sous-trai­tance soit conforme aux exigences légales en matière de protec­tion des données/​sécurité de l’information et qu’ils ne nous font courir aucun risque signi­fi­ca­tif doit être une prio­rité majeure pour le respon­sable du trai­te­ment. Non par peur d’écoper une sanc­tion pécu­niaire quel­conque, mais parce que le risque de mettre la clé sous la porte à la prochaine viola­tion de données person­nelles est réel. À titre pure­ment indi­ca­tif, j’aime citer une statis­tique publiée par Scott Schober (Expert en cyber­sé­cu­rité et auteur des livres « Hacked Again » et « La cyber­sé­cu­rité est l’af­faire de tous »), qui dit que 60 % des PME améri­caines victimes de pira­tage ou d’une viola­tion de données ferment leurs portes dans les six mois.

B. Relation contractuelle

Lorsque le respon­sable du trai­te­ment a une image claire et à jour de ses sous-trai­tants ou lorsqu’il est en passe de s’attacher les services d’un nouveau pres­ta­taire, il devient aussi urgent qu’important d’établir une rela­tion contrac­tuelle adéquate.

À sa grande surprise, il décou­vrira peut-être qu’aucun contrat n’a été signé avec certains sous-trai­tants à qui il commu­nique des données person­nelles depuis de nombreuses années. Ce scéna­rio n’étant pas forcé­ment pire que celui où le respon­sable du trai­te­ment n’a pas clai­re­ment donné d’instruction à son sous-traitant.

En tout état de cause, le plus grand soin doit être réservé à l’établissement du contrat. Et ce dernier n’est plus une affaire de juristes unique­ment, sans quoi le contrat risque fort de ne pas reflé­ter et couvrir les risques analy­sés dans l’AIPD, ainsi que les mesures pour y pallier, et la force du contrat s’en trou­vera d’autant réduit.

Aussi étrange que cela puisse paraître, un des premiers débats consis­tera à défi­nir qui revêt quel rôle dans le trai­te­ment des données. Cette ques­tion aux abords anodine peut parfois donner lieu à des débats enflam­més. Dans certains cas, ce qui peut paraître évident au premier coup d’œil méri­tera d’être nuancé. Sur ce point, la Commission natio­nale de l’in­for­ma­tique et des liber­tés (CNIL) prodigue un conseil éclairé :

« Le donneur d’ordre et le pres­ta­taire de service défi­nissent chacun leur rôle sur la base de la régle­men­ta­tion appli­cable (articles 4.7, 4.8 et 28.10 du RGPD), en menant l’ana­lyse ensemble, afin de pouvoir ensuite s’accorder sur leurs obli­ga­tions respec­tives. Cela vaut égale­ment pour les cas de sous-trai­tance n’impliquant qu’un accès ponc­tuel aux données person­nelles (telles que les opéra­tions de main­te­nance). Attention, cela ne signi­fie pas que les parties peuvent « choi­sir » ensemble la quali­fi­ca­tion qui les arrange. Cette clari­fi­ca­tion est essen­tielle pour assu­rer la sécu­rité juri­dique des deux parties au contrat. »

Une fois les rôles bien défi­nis, il s’agit d’établir un contrat clair conte­nant l’objet, la durée, le but du trai­te­ment, tout comme les caté­go­ries de données person­nelles et les caté­go­ries de personnes concer­nées. Tous ces éléments défi­nissent le cadre du trai­te­ment pour le sous-trai­tant. Il faut souli­gner que, contrai­re­ment au droit suisse (art. 9 LPD), l’art. 28 RGPD pres­crit un nombre de points élémen­taires qui doit figu­rer au sein d’un contrat de sous-traitance.

Dans les faits, le but du trai­te­ment des données person­nelles corres­pon­dra géné­ra­le­ment à la mission du sous-trai­tant pour autant que celle-ci soit expres­sé­ment définie.

Sur ce point, il convient d’être atten­tifs sur les possibles évolu­tions des services four­nis par un pres­ta­taire. En effet, il n’est pas rare qu’après quelque temps le contrat ne reflète plus entiè­re­ment ce qui avait été défini lors de sa signa­ture. De nouvelles opéra­tions de trai­te­ment, non prévues initia­le­ment, exige­ront poten­tiel­le­ment que le contrat soit revu afin d’y inclure les nouvelles instruc­tions du respon­sable du trai­te­ment et/​ou qu’une nouvelle AIPD soit menée afin d’évaluer les risques d’un nouveau trai­te­ment pour les personnes concernées.

Un autre énorme piège consiste à sous-évaluer la ques­tion des sous-trai­tants du sous-trai­tant. En droit euro­péen (art. 28 RGPD), le sous-trai­tant ne peut recru­ter un autre sous-trai­tant que sur auto­ri­sa­tion écrite du respon­sable du trai­te­ment ; en droit suisse, l’autorisation ne requiert pas la forme écrite (art. 9 al. 3 LPD). Concrètement, le sous-trai­tant avec qui nous choi­sis­sons de colla­bo­rer doit établir une liste de ses propres sous-trai­tants auxquels il recourt. Cette dernière devra être inté­grée dans le registre des acti­vi­tés de trai­te­ment que le sous-trai­tant doit tenir et mettre à jour en sa qualité de pres­ta­taires de services trai­tant des données person­nelles pour le compte d’un respon­sable du trai­te­ment. Ce point est parti­cu­liè­re­ment impor­tant dans le cadre d’une demande de droit d’accès (cf. www​.swiss​pri​vacy​.law/​218).

Il ne s’agit pas là d’un nouveau tracas admi­nis­tra­tif aussi perçu régu­liè­re­ment comme un frein pour l’avancement du projet. Sous-esti­mer cette gestion en cascade des sous-trai­tants, c’est se réveiller un matin et décou­vrir peut-être que l’un des sous-trai­tants de notre sous-trai­tant, dont nous igno­rions jusque-là l’existence, a subi une viola­tion de la sécu­rité des données person­nelles sous-trai­tées, car aucune des mesures de sécu­rité conve­nues avec notre sous-trai­tant n’a été réper­cu­tée à son propre sous-traitant.

Le respon­sable du trai­te­ment ne pourra que s’en prendre à lui-même et assu­mer la respon­sa­bi­lité de cette absence de maîtrise du sujet. Il n’existe pas d’autre alter­na­tive pour lui que d’encadrer rigou­reu­se­ment toutes les parties prenantes, sans excep­tion, et de donner les instruc­tions claires sur la façon de trai­ter ses données person­nelles et de s’assurer des mesures mises en place dans le cadre d’audits.

Lors de cette gestion, un des casse-têtes consis­tera à loca­li­ser les données person­nelles. Une totale trans­pa­rence de l’entier de la chaîne des sous-trai­tants sera néces­saire. Ceux-ci devront s’engager à lister formel­le­ment les pays dans lesquels nos données seront trai­tées. Pour illus­trer la complexité du sujet, dans le contexte de l’Union euro­péenne, la simple consul­ta­tion de données person­nelles par un help­desk du sous-trai­tant dans un pays tiers doit être consi­dé­rée comme un trans­fert des données dans ledit pays (art. 28 et 44 du RGPD). Ainsi, les trans­ferts de données person­nelles doivent régu­liè­re­ment être enca­drés par des méca­nismes de protec­tion des données, tels que les clauses contrac­tuelles types, les règles contrai­gnantes d’entreprise, ou d’autres méca­nismes approu­vés, pour garan­tir un niveau adéquat de protec­tion des données. Ces méca­nismes juri­diques de protec­tion des données doivent pouvoir s’appuyer sur des outils tech­niques de « carto­gra­phie ou mappage des données », afin d’être capables de tracer et suivre les flux d’information dans l’organisation durant tout le cycle de vie des données.

Je termi­ne­rai d’effleurer ce thème vaste et complexe de la rela­tion contrac­tuelle avec le sous-trai­tant, en rappe­lant que le contrat doit impé­ra­ti­ve­ment conte­nir les exigences du respon­sable du trai­te­ment vis-à-vis du sous-trai­tant en matière de protec­tion des données et de sécu­rité de l’information. Le contrat est en réalité le lieu de rencontre entre les experts métiers, légaux et de sécu­rité de l’information.

Si la commu­ni­ca­tion entre les juristes défen­dant les inté­rêts du respon­sable du trai­te­ment et du sous-trai­tant peut s’avérer diffi­cile, elle est complexi­fiée par l’irruption dans la discus­sion de celui qui est en charge des ques­tions liées à la sécu­rité de l’information.

Car il s’agit main­te­nant de traduire en « clauses » les mesures tech­niques et orga­ni­sa­tion­nelles de sécu­rité iden­ti­fiées dans l’AIPD afin de jugu­ler les risques analy­sés pour un trai­te­ment de données que nous allons confier, tout ou partie, à notre sous-traitant.

La négo­cia­tion du contrat n’est donc pas une affaire de juristes unique­ment, mais le carre­four de compé­tences poin­tues spéci­fiques où à ce stade le respon­sable du trai­te­ment devra s’assurer, cas échéant clai­re­ment indi­quer, quelles sont les mesures tech­niques et orga­ni­sa­tion­nelles de sécu­rité que le sous-trai­tant doit implé­men­ter afin d’offrir des garan­ties suffi­santes en matière de sécu­rité, c’est-à-dire en termes de confi­den­tia­lité, d’intégrité, de dispo­ni­bi­lité et de traça­bi­lité de l’information, en l’occurrence des données person­nelles. Les échanges peuvent être parfois cocasses pour les uns et les autres. Le délé­gué à la protec­tion des données jouera dans tout cela un rôle de faci­li­ta­teur, aidant les parties à se comprendre.

La préci­sion avec laquelle établir une rela­tion contrac­tuelle avec un sous-trai­tant passe donc par la capa­cité à tisser les liens essen­tiels entre le registre des acti­vi­tés de trai­te­ment et l’AIPD.

C. Audits des sous-traitants

Une fois la rela­tion contrac­tuelle clai­re­ment établie, il ne faut pas imagi­ner que le devoir du respon­sable du trai­te­ment s’arrête là. L’aphorisme anti­no­mique scan­dant que « la confiance n’exclut pas le contrôle » s’applique ici. Le contrat de sous-trai­tance spéci­fiera sans ambi­guïté que le sous-trai­tant devra mettre à la dispo­si­tion du respon­sable du trai­te­ment la docu­men­ta­tion néces­saire pour démon­trer le respect de toutes ses obli­ga­tions et pour permettre la réali­sa­tion d’au­dits, y compris des inspec­tions, par le respon­sable du trai­te­ment ou un autre audi­teur qu’il a mandaté, et contri­buer à ces audits. Ce qui précède n’est pas théorique.

En réalité, cette clause d’audit est plus simple à écrire qu’à mettre en œuvre. Rares sont les entre­prises qui ne froncent pas les sour­cils lorsque le respon­sable du trai­te­ment annonce vouloir véri­fier, lors d’un audit de son délé­gué à la protec­tion des données, que le trai­te­ment de données person­nelles confié respecte bien le contrat et/​ou la loi. Pour avoir réalisé de nombreux audits, je peux affir­mer que la plupart des sous-trai­tants m’indiquent en intro­duc­tion que jamais un de leurs clients n’est venu véri­fier quoi que ce soit, sous-enten­dant peut-être que nous n’avons pas confiance en eux. Ainsi, c’est souvent dans un climat de méfiance que ces audits démarrent.

À défaut d’être des visites de cour­toi­sie, ces audits doivent permettre de surveiller acti­ve­ment et concrè­te­ment, au moyen d’évidences, que le sous-trai­tant respecte la loi et ses enga­ge­ments contrac­tuels en faveur du respon­sable du trai­te­ment dans la même mesure qu’il le fait pour lui-même. À l’issue de ces audits, des recom­man­da­tions plus ou moins contrai­gnantes doivent être formu­lées et des actions concrètes peuvent être exigées dans des délais raison­nables. La vie privée des personnes nous ayant confié leurs données en dépend. Cette étape est abso­lu­ment essen­tielle pour le respon­sable du trai­te­ment qui doit respec­ter le prin­cipe « d’accountability », issu des art. 5 et 24 du RGPD, et qui désigne l’obligation pour les entre­prises de mettre en œuvre des méca­nismes et des procé­dures internes permet­tant de démon­trer le respect des règles rela­tives à la protec­tion des données. Ce prin­cipe d’accountability entraîne deux tâches distinctes pour le respon­sable du trai­te­ment. La première, à priori, consiste à s’as­su­rer de la confor­mité du trai­te­ment des données person­nelles. La deuxième, à poste­riori, consiste à justi­fier de cette confor­mité auprès des auto­ri­tés de contrôle.

III. Conclusion

Connaître parfai­te­ment ses sous-trai­tants et les trai­te­ments de données que nous leur confions, établir des contrats clairs conte­nant toutes les instruc­tions sur la façon de trai­ter nos données person­nelles, et enfin véri­fier que le sous-trai­tant respecte bien notre contrat et la loi appli­cable sont les trois phases essen­tielles d’une gestion sérieuse des sous-traitants.

La maîtrise de ce sujet est le résul­tat d’une approche holis­tique d’un sujet complexe, résul­tat bâti sur des compé­tences pluri­dis­ci­pli­naires. Il va de soi que cette maîtrise néces­site des inves­tis­se­ments humains et finan­ciers consé­quents. Toutefois, ces derniers seront souvent large­ment infé­rieurs aux frais engen­drés par la première défaillance d’un sous-trai­tant. Il vaut donc mieux bâtir sa convic­tion sur la compré­hen­sion des enjeux plutôt que sur une expé­rience traumatisante.