RGPD : la clarification des CNIL européennes sur les chaînes de sous-traitance

Jusqu'où le responsable d'un traitement de données à caractère personnel doit-il identifier les sous-traitants ?

La CNIL danoise avait sollicité ses homologues européennes à ce sujet dans le cadre du CEPD (Comité européen de la protection des données).

Ce dernier a récemment communiqué sa position. Sur l'aspect susmentionné, mais pas que. La demande de la CNIL danoise touchait aussi, entre autres, aux obligations contractuelles et aux transferts vers des pays tiers (hors Espace économique européen).

L'autorité avait, en premier lieu, abordé la documentation de la conformité des sous-traitants vis-à-vis des alinéas 1 et 2 de l'article 28 du RGPD. Le premier impose, en substance, que les sous-traitants présentent des garanties suffisantes pour que les traitements garantissent la protection des droits des personnes concernées. Le second soumet à une autorisation écrite préalable du responsable du traitement le fait pour un sous-traitant d'en recruter un autre.

La CNIL danoise cherchait à savoir si dans ce contexte, le responsable du traitement doit identifier les sous-traitants sur toute la chaîne ou seulement jusqu'au premier niveau de sous-traitants ultérieurs engagés par le sous-traitant initial. Elle s'était également enquise de la mesure dans laquelle le responsable du traitement doit vérifier et documenter, d'une part, la suffisance des garanties qu'apportent les sous-traitants. Et de l'autre, le contenu des contrats entre sous-traitants pour s'assurer de la répercussion des obligations initiales.

Sur l'identification des acteurs de la chaîne de traitement

Le CEPD rappelle que le RGPD soumet l'engagement de sous-traitants ultérieurs à une autorisation écrite préalable du responsable du traitement. Celui-ci peut inclure dans le contrat - ou en annexe - une liste de sous-traitants ultérieurs approuvés. Et éventuellement préciser le périmètre ainsi que la durée des traitements autorisés. Dans tous les cas, c'est au sous-traitant initiale d'informer le responsable du traitement de tout changement de sous-traitant ultérieur.

Les exigences de transparence inscrites aux articles 13 et 14 du RGPD justifient la nécessité, pour le responsable de traitement, d'identifier tous les sous-traitants. Même chose avec l'article 19 (exigences de rectification ou d'effacement de données personnelles ou de restriction de traitement). C'est au sous-traitant de fournir une liste des sous-traitants ultérieurs. Le contrat avec le responsable de traitement peut spécifier comment et dans quel format cette liste est transmise.

Sur la vérification et la documentation des garanties sur la chaîne de traitement

D'après le CEPD, les CNIL devraient considérer que le recrutement de tout sous-traitant ne doit pas réduire le niveau de protection des droits des personnes concernées par rapport à une situation où le traitement serait effectué par le responsable du traitement.

Le responsable de traitement devrait vérifier la conformité des sous-traitants initiaux au cas par cas, en tenant compte de la nature, du périmètre, du contexte et des finalités de traitement, ainsi que des risques pour les droits et libertés des personnes concernées.
Cette obligation devrait s'appliquer peu importe le niveau de risque. L'étendue de la vérification dépendra de la nature des mesures souhaitées pour implémenter des garanties suffisantes.

Le sous-traitant initial a un rôle à jour dans le choix des sous-traitants ultérieurs et dans leur vérification. Il doit fournir suffisamment d'informations au responsable du traitement.
L'ultime décision de recruter un sous-traitant ultérieur - et la responsabilité associée à ce choix - revient au responsable du traitement. Aussi les CNIL devraient-elles évaluer si ce dernier est bien en mesure de démontrer que une vérification satisfaisante des sous-traitants ultérieurs.

Sur la vérification des contrats entre sous-traitants

Le sous-traitant initial est tenu d'inclure, dans ses contrats avec les sous-traitants ultérieurs, le même niveau de protection que celui garanti au responsable du traitement. Et ainsi de suite sur toute la chaîne.

Si un sous-traitant n'est pas conforme, le responsable du traitement en est responsable. Il peut toutefois se retourner contre le sous-traitant initial si celui-ci n'a pas correctement répercuté les obligations initiales.

Sur demande du responsable du traitement, le sous-traitant initial lui fournit une copie de ses contrats avec les sous-traitants ultérieurs. C'est prévu, notamment, dans les clauses contractuelles types de la Commission européenne - y compris celles pour les transferts de données personnelles vers des pays tiers. Ainsi que dans celles qu'ont adoptées les CNIL danoise, lituanienne et slovène.
Le responsable du traitement n'a pas à demander systématiquement ces contrats. Il lui appartient d'évaluer au cas par cas s'il c'est nécessaire pour démontrer sa conformité au principe de responsabilité.

Sur l'évaluation et la documentation des transferts entre sous-traitants

La CNIL danoise cherchait aussi à savoir dans quelle mesure le responsable du traitement devait documenter les transferts entre sous-traitants.

Le CEPD rappelle qu'il appartient au responsable de traitement d'autoriser ou non un transfert de données personnelles hors de l'Espace économique européen (le sous-traitant initial n'agira, en principe, que sur instruction documentée).

Qu'il existe ou non des transferts ultérieurs, le responsable du traitement est responsable de leur conformité.

L'article 44 du RGPD oblige les responsables du traitement et les sous-traitants exportateurs à s'assurer que le transfert ne compromet pas la protection des données. Vu la responsabilité qui lui incombe en vertu de l'article 28.1, le responsable de traitement devrait pouvoir évaluer et documenter la cartographie des transferts, réalisée par l'exportateur - d'autant plus qu'il est sujet à des exigences de transparence. Il devrait aussi pouvoir évaluer et documenter les bases légales de transfert (l'étendue de l'évaluation dépendant de la base).

En l'absence d'une décision d'adéquation, les transferts peuvent avoir lieu s'ils font l'objet de "garanties appropriées" (article 46). Dans ce cas, le responsable du traitement devrait contrôler l'éventuelle existence d'une législation qui pourrait empêcher un sous-traitant ultérieur de se conformer aux obligations du contrat avec le sous-traitant initial. Ce au moyen d'une étude d'impact. Le sous-traitant initial produira la documentation à ce sujet.

Sur la rédaction des contrats

L'article 28.3 établit que le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre.
La CNIL danoise se demandait si, pour être conforme au RGPD, ce document devait contenir l'exception inscrite au 28.3.a. À savoir ne traiter les données personnelles "que sur instruction documentée du responsable du traitement [...] à moins [que le sous-traitant] ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis". Elle avait par ailleurs demandé si, dans la négative, élargir l'exception pour couvrir les pays tiers de manière globale (par exemple sous la forme "à moins que le sous-traitant ne soit tenu d'y procéder en vertu de lois ou d'un ordre contraignant d'un organisme gouvernemental") constituerait une infraction à l'article 28.3.a.

L'article 28, constate le CEPD, laisse une marge de négociation en la matière. L'alinéa 3 la limite toutefois. Il implique que le sous-traitant s'engage à informer par avance le responsable de traitement en cas d'obligation légale de transférer des données vers un pays tiers ou une organisation internationale, sauf si cela lui est interdit sur le fondement de l'intérêt public.
Cet engagement est inclus, en un phrasé similaire, dans les clauses contractuelles types de la Commission européennes et dans celles des CNIL danoise, lituanienne et slovène.

En complément au principe fondamental de ne traiter que sur instruction documentée, l'article 28.3 établit trois éléments :

• Une règle gouvernant les situations où une obligation légale impose au sous-traitant de réaliser des traitements non fondés sur une telle instruction
• Le cas échéant, la nécessité pour le sous-traitant d'informer le responsable de traitement
• La nécessité de préciser que cette obligation est issue de la loi de l'Union ou d'un État membre

Les contrats entre responsables du traitement et sous-traitants doivent reprendre ces éléments. S'agissant des traitements hors Espace économique européen, la référence à la loi de l'Union ou d'un État membre fera généralement peu de sens. À cet égard, le CEPD note que les clauses contractuelles types de la Commission européenne sur les transferts internationaux, censées répondre aux exigences des alinéas 3 et 4 de l'article 28, ne contiennent pas une formulation similaire à la clause de l'article 28.3.a. Cependant, l'exigence de traitement uniquement sur instruction documentée est déjà couverte indirectement par la clause 8.1 de ces mêmes clauses contractuelles types. Clauses qui, en outre, incluent explicitement la nécessité pour l'importateur d'informer l'exportateur s'il ne peut pas suivre les instructions du responsable du traitement.

Dans ce contexte, inclure dans le contrat entre responsable de traitement et sous-traitant l'exception formulée à l'article 28.3 en verbatim ou dans un phrasé similaire est vivement recommandé, mais pas exigé. C'est sans préjudice de la nécessité d'obliger contractuellement le sous-traitant à informer des traitements hors instructions.

Sur l'extension de l'exception aux pays tiers

Si les parties peuvent démontrer que la clause "sauf [...] organismes gouvernementaux" n'englobe que les lois de l'Union ou d'États membres, alors il n'y a pas d'impact sur la conformité.

Selon l'article 29, "le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut traiter ces données, excepté sur instruction du responsable du traitement, à moins d'y être obligé par le droit de l'Union ou le droit d'un État membre".

L'article 28.3 n'empêche pas, en principe, d'inclure dans le contrat des dispositions concernant les exigences associées au droit de pays tiers, mais il est peu probable que la clause "sauf [...] organismes gouvernementaux" suffise.

Les clauses contractuelles types de la Commission européenne couvrent les "législations et pratiques locales ayant une incidence sur le respect des clauses" (clause 14) et les "obligations de l'importateur de données en cas d'accès des autorités publiques" (clause 15).
Les BCR (binding corporate rules, règles d'entreprise contraignantes) à destination des responsables du traitement et des sous-traitants établissent aussi des obligations au cas où une entité membre est sujette à un conflit avec ses lois locales et/ou si elle reçoit une demande de divulgation issue de forces de l'ordre.

Même lorsqu'un sous-traitant traite des données personnelles dans l'Espace économique européen, il peut être confronté aux législations de pays tiers. L'ajout, dans le contrat, d'une référence à ces législations ne décharge pas le sous-traitant de ses obligations en vertu du RGPD.
Inclure une formule similaire à "sauf [...] organisme gouvernemental" est une prérogative de la liberté contractuelledes deux parties et ne constitue pas, en soi, une infraction à l'article 28.3.a.

Sur l'interprétation de l'exception élargie comme si c'était une instruction

Les instructions doivent être assez précises pour couvrir un traitement spécifique ; ce qui n'est pas le cas avec la formulation en question. De plus, le responsable du traitement serait toujours en mesure de retirer cette instruction, auquel cas le sous-traitant devrait mettre fin au traitement.

Si un responsable du traitement peut rappeler au sous-traitant de respecter le droit de l'Union ou d'un État membre, cela ne peut être interprété comme une instruction au sens de l'article 28.3.a, considère le CEPD. Ce raisonnement s'applique aussi si l'obligation légale ou l'ordre contraignant émane d'un pays tiers.

À consulter en complément sur le sujet RGPD :

- Un point sur le mécanisme des BCR et sur un outil d'autoévaluation de conformité qu'y a associé la CNIL
- La CNIL confrontée aux spécificités des IA et les GAFAM rappelés à l'ordre pour leurs LLM
- Les failles des dossiers transfrontaliers

Illustration © alexlmk - Adobe Stock