Sous-traitants : Première sanction de la CNIL pour défaut de sécurité

Par Stéphane Astier et Marie Torelli

Le 27 janvier 2021, la CNIL a, pour la première fois, sanctionné non seulement un responsable de traitement mais aussi son sous-traitant en raison de l’insuffisance des mesures de sécurité mises en place pour l’encadrement de traitements de données à caractère personnel.

Cette décision opère un revirement important.

Ce revirement doit en effet être pris en compte dans la gestion juridique des responsabilités à opérer au sein des contrats liant les responsables de traitement à leurs différents sous-traitants.

De manière incidente mais tout aussi nécessaire cette décision du 27 janvier, vient confirmer l’intervention prochaine de vague d’audits et de contrôle opérés directement par les Responsables e traitement auprès de leurs fournisseurs afin de s’assurer que ces derniers respectent leurs engagements de sécurité.

Le contexte n’est pas neutre et impose la plus grande vigilance.

Que ce soit par des clauses de limitation ou d’exclusion, les sous-traitants qui se trouvent en position de force dans les négociations contractuelles avec leurs clients ont en effet tendance à minimiser leur responsabilité au regard de la protection des données à caractère personnel.

Leur statut les y invite : ils traitent ces données pour le compte et selon les instructions du responsable de traitement.

Comment opérer un partage de responsabilité assurant la sécurité juridique des relations et tenant compte des positions de la CNIL ?

Pour répondre à cette question, il apparaît utile de revenir sur l’évolution de la position de la Commission en la matière :

1. La doctrine de la CNIL avant le 27 janvier 2021 : seul le responsable du traitement peut faire l’objet d’une sanction

Avant l’entrée en vigueur du RGPD, la CNIL avait adopté une doctrine stricte selon laquelle, même lorsque le manquement relevé était entièrement imputable à un sous-traitant, le responsable de traitement était, seul, susceptible d’être sanctionné.

Cette pratique décisionnelle peut être résumée en 5 points :

• Le responsable de traitement ne peut transférer sa responsabilité à son sous-traitant. La CNIL a toujours affirmé que le recours à un sous-traitant[1] ou à une chaîne de sous-traitance[2] n’est pas de nature à exonérer le responsable de traitement de ses obligations notamment en ce qui concerne la sécurité des données.
• Le responsable de traitement a l’obligation de prévoir contractuellement des mesures de sécurité. Sont ainsi sanctionnés les responsables de traitement qui ne prévoient aucune clause relative à la sécurité des données à caractère personnel dans les contrats les liant à leurs sous-traitants[3].
• Le responsable de traitement doit non seulement prévoir des mesures de sécurité, mais il doit aussi en contrôler l’application par son sous-traitant. La CNIL impose aux responsables de traitement une obligation générale de surveillance de leurs sous-traitants qui implique :

- La mise en œuvre d’audits de sécurité réalisés par le responsable de traitement[4];
- Un suivi général des actions menées par le sous-traitant caractérisé notamment par la réalisation de vérification (procédure de recette, suivi des manipulations complexes…)[5].

• Cette doctrine ne porte pas atteinte au principe constitutionnel de responsabilité personnelle, lequel exclut la responsabilité du fait d’autrui en matière répressive. En effet, le recours à un sous-traitant n’exonère pas le responsable de traitement de son obligation de s’assurer de la sécurité des données[6]. Si le Conseil d’Etat considère qu’il en irait autrement si le sous-traitant agissait en dehors des instructions du responsable de traitement, cette interprétation n’a, à ce jour, pas été suivie par la CNIL.
• Cette doctrine s’appliquerait même si le sous-traitant agit en dehors des instructions du responsable de traitement[7]. Une telle interprétation pourrait, toutefois, être révisée. En effet, l’article 28 du RGPD précise que lorsque le sous-traitant agit en dehors des instructions du responsable de traitement, il encourt une requalification de son statut.

2. Ce que change la décision de la CNIL du 27 janvier 2021

La décision de la CNIL fait suite à des notifications de violations de données liées à des attaques par bourrages d’identifiants (credential stuffing) sur le site Internet d’un responsable de traitement.

Ces attaques avaient ainsi permis à des personnes malveillantes d’obtenir de nombreuses données concernant les clients d’un site de commerce en ligne.

En premier lieu, la CNIL estime qu’il incombait au responsable de traitement de décider des mesures de sécurité à mettre en place pour lutter contre ces attaques et de donner des instructions à cette fin à son sous-traitant.

Cependant, et pour la première fois, la CNIL considère qu’il appartenait aussi au sous-traitant de rechercher les solutions techniques et organisationnelles « les plus appropriées » pour assurer la sécurité des données et de les proposer au responsable de traitement.

En conséquence, la CNIL a prononcé deux amendes administratives distinctes à l’encontre non seulement du responsable de traitement mais aussi de son sous-traitant et dont le montant respectif s’élève à 150 000 euros et 75 000 euros.

La CNIL précise que le montant de ces amendes a été calculé en tenant compte notamment de la responsabilité respective de chacun de ces acteurs au regard du traitement.

***

Cette décision est riche en enseignements tant pour les sous-traitants, fournisseurs de solutions que pour leurs clients responsables de traitement.

Côté sous-traitant, il faut retenir que :

• Les sous-traitants peuvent désormais faire l’objet de sanctions administratives ;
• Le montant de l’amende administrative est calculé au regard de la part de responsabilité de chacun dans le manquement relevé. Ainsi, si le responsable de traitement peut démontrer que le sous-traitant a refusé de mettre en place certaines mesures contractuelles, celui-ci pourrait potentiellement recevoir une sanction supérieure à celle qui serait infligée au responsable de traitement.
• Les sous-traitants sont tenus de proposer les mesures de sécurité « les plus appropriées » au responsable de traitement. Le caractère approprié des mesures de sécurité s’appréciera tout au long de la relation contractuelle, ce qui implique de les réviser au regard de l’évolution de l’état de l’art.

Côté responsable de traitement, les implications sont également nombreuses :

• Même en cas de défaillance de son sous-traitant, le responsable de traitement est susceptible de faire l’objet de sanctions ;
• Afin de limiter le montant de l’amende, le responsable de traitement doit mettre en œuvre toutes les mesures nécessaires pour s’assurer en temps réel de la sécurité des données, ce qui peut consister notamment à négocier la mise en place de mesures de sécurité spécifiques ou à mener des audits de sécurité dans les locaux de son sous-traitant.

Dans tous les cas, cette décision invite fortement responsables de traitement et sous-traitants à prendre toute mesures adéquates afin de :

• Neutraliser les risques juridiques induits par ces nouvelles possibilités de partage de responsabilité – notamment par la voie contractuelle
• Justifier de son statut d’acteur digne de confiance en documentant le caractère adéquate des mesures de sécurité mises en œuvre pour un traitement donné
• S’assurer, le cas échéant, par voie d’audit, du caractère effectif de ces mesures

***

Le cabinet Haas Avocats se tient à votre disposition pour vous accompagner dans la rédaction, la négociation et l’exécution de vos contrats de sous-traitance. Pour en savoir plus, rendez-vous ici.

[1] CNIL, n°SAN-2018-010 du 6 septembre 2018

[2] CNIL, délibération n°2014-298 du 7 août 2014

[3] CNIL, délibération n°2014-298 du 7 août 2014

[4] CNIL, délibération n°2014-298 du 7 août 2014

[5] CNIL,délibération n°SAN-2018-001, CNIL, n°SAN-2017-010, 18 juillet 2017

[6] Conseil d'État, 10ème / 9ème SSR, 11/03/2015, 368748

[7] CNIL, n°SAN-2018-010 du 6 septembre 2018