TELECOM PARIS ALUMNI
Retour aux actualités
Article suivant Article précédent

Revue TELECOM 185 - Protection des données personnelles, nouvel enjeu de la sous traitance et de la chaîne logistique. Le point de vue de l'avocate

Articles Revue TELECOM

-

15/06/2017

PROTECTION DES DONNEES

PERSONNELLES, NOUVEL

ENJEU DE LA SOUS

TRAITANCE ET DE LA

CHAINE LOGISTIQUE

le point de vue de l'avocate

 

 

Par Maître Garance Mathias dans la revue TELECOM n° 185

 

Le Règlement Général sur la Protection des Données1 tend à rééquilibrer la relation contractuelle entre le responsable du traitement de données à caractère personnel et ses sous-traitants en renforçant les obligations de ces derniers.

 

Dans un contexte de démocratisation de l’externalisation de traitements de données à caractère personnel, les prestataires de services ont bien souvent la charge de traitements stratégiques pour une entité. Par ailleurs, ils ont accès à des données à caractère personnel dont la valeur peut être considérable pour l’entité qui les lui confie.

Au sens du Règlement Général sur la Protection des Données, ces prestataires ont la qualité de sous-traitant dès lors qu’ils « traite[nt] des données à caractère personnel pour le compte du responsable du traitement. »2

En vertu du principe d’« accountability », le responsable de traitements de données à caractère personnel doit s’assurer de et veiller à la conformité desdits traitements à la réglementation applicable à la protection des données.

Lorsqu’il décide de confier cette mise en œuvre à un tiers, le responsable du traitement n’est pas déchargé de ses obligations. Au contraire, il doit s’assurer qu’en dépit de l’externalisation, la conformité du traitement perdure tout en perdant la maîtrise directe des opérations. Dès lors, le tiers doit être en mesure de mettre en œuvre un certain nombre de mesures permettant au responsable du traitement d’attester de la conformité du traitement externalisé.

Dans ce contexte, quelles garanties ces sous-traitants doivent-ils présenter ? Quels prérequis le responsable du traitement doit-il exiger ? Quels seront les stipulations à intégrer dans le contrat conclu entre le responsable du traitement et le sous-traitant ?

 

Quels prérequis exiger du sous-traitant ?

 

Les textes encadrant la protection des données à caractère personnel jusqu’au 25 mai 2018, date d’entrée en application du Règlement Général sur la Protection des Données, définissent déjà des prérequis à l’égard du sous-traitant. Ce dernier doit, en effet, présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité des données à caractère personnel3.

Le Règlement Général sur la Protection des Données maintient cette exigence en élargissant son périmètre à la mise en œuvre de « mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. »

En pratique, il appartient au responsable du traitement de s’enquérir des garanties présentées par le sous-traitant. Dans ce contexte, les cahiers des charges rédigés par le responsable du traitement ou tout autre document d’expression de besoins doivent intégrer des prérequis en matière de protection des données à caractère personnel.

Ces prérequis peuvent avoir trait à plusieurs domaines :

• niveau de conformité du sous-traitant au regard à sa propre organisation : Dispose-t-il d’une politique interne à la protection des données à caractère personnel ? Ses salariés sont-ils sensibilisés aux enjeux de la protection des données ?, etc.

• conditions de mise en œuvre du traitement par le sous-traitant : A-t-il recours à des tiers ? Peut-il mettre en œuvre des mesures de sécurité appropriées compte tenu de la nature des données traitées ? Est-il en mesure d’identifier une violation de données à caractère personnel ? Accepte-t-il les audits en matière de protection des données ?, etc.

Précisons en outre que ces éléments permettront ensuite de rédiger le contrat conclu entre le responsable du traitement et le sous-traitant et d’aménager la responsabilité de chacune des parties.

 

De nouveaux enjeux contractuels à prendre en compte

 

La clause relative à la protection des données à caractère dans le contrat liant le responsable de traitement et le sous-traitant est considérablement enrichie par le Règlement Général sur la Protection des Données4. Le contrat devra, si ce n’est pas le cas aujourd’hui, comporter des stipulations relatives au traitement de données personnelles sous-traité et aux obligations respectives des parties.

Les instructions en vertu desquelles le sous-traitant agit devront être documentées, également en ce qui concerne les transferts hors de l’Union européenne. De ce point de vue, le cahier des charges pourrait être un outil pertinent. Les instructions pourront également figurer en annexe du contrat.

Soulignons que cette exigence aura un impact sur la sous-traitance ultérieure du traitement de données à caractère personnel. En effet, cette dernière peut conduire au transfert des données hors de l’Union européenne sans que le responsable du traitement en ait connaissance et sans qu’il sache dans quelles conditions. C’est la raison pour laquelle une autorisation préalable est expressément prévue par le Règlement précité en autres exigences.

En outre, le sous-traitant n’aura pas qu’un rôle d’exécutant. Il devra collaborer avec le responsable de traitement sur de nombreux points (respect des droits des personnes, définition des mesures techniques et organisationnelles en matière en matière de sécurité, gestion des violations de données, mise à disposition d’informations, coopération dans le cadre d’audits, etc.). Dans ce contexte, les contours de la responsabilité du sous-traitant seront susceptibles de faire l’objet d’âpres négociations.

 

Pour conclure, la rédaction du cadre contractuel est donc déterminante et devra être adaptée à chaque cas d’espèces.

 

 

 

 

1/ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE) 
2/ Article 4, 8) du Règlement 2016/679                                                                                                                               
     3/ Article 17 de la directive 95/46/CE du 24 octobre 1995 et article 35 de la loi n°78-17 du 6 janvier 1978 transposant la directive précitée 
4/ Article 28 du Règlement précité et illustration n°1 « Que doit prévoir le contrat ? »

 

Biographie de l'auteur

Garance Mathias est avocate associée du cabinet Mathias Avocats fondé en 2003 après plusieurs années passées au sein de cabinets internationaux. Son activité est dédiée aux droits des technologies innovantes, de la protection des données personnelles et de la propriété intellectuelle. Elle conseille et défend petites et grandes entreprises, intervient régulièrement à des conférences et publie des livres blancs.

@GaranceMathias, Blog de Mathias Avocats, LinkedIn, Livre blanc « Données personnelles : Votre conformité » (16 fiches pratiques). www.avocats-mathias.com

 

 

 

 

 

 

 

 

 

 

 

166 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Revue TELECOM 194 - Editorial Laura Peytavin et Yves Poilane

User profile picture

Rédaction Revue TELECOM

13 novembre

Articles Revue TELECOM

Revue TELECOM 194 - Paris Tech Entrepreneurs, 20 ans d'innovation au coeur de Télécom Paris par Pascale Massot et René Joly (1979)

User profile picture

Rédaction Revue TELECOM

12 novembre

Articles Revue TELECOM

Revue TELECOM 194 - 17 520 jours rue Barrault par Henri Maître

User profile picture

Rédaction Revue TELECOM

12 novembre