Par Yaël COHEN-HADRIA, Avocat Associée
Avec l’entrée en application du règlement de protection des données personnelles (RGPD) le 25 mai 2018, il est important de revoir les contrats de prestations car ce RGPD porte de lourdes sanctions sur les responsables. Ainsi, il faut pouvoir répartir les obligations de chaque partie sur la protection des données. Par exemple, l’obligation de sécurité des traitements de données.
Avant le RGPD cette obligation pesait uniquement sur le responsable de traitements de données
Avant le RGPD, le donneur d’ordre est le responsable du traitement et ce, même s’il choisit un sous-traitant. Il est donc responsable même si la faute vient du sous-traitant. La société Darty en a ainsi payé les frais pour ne pas avoir pris les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées par un de ses sous-traitants pour son compte.
Pour ce manquement à son obligation de sécurité, la Cnil a infligé à Darty une sanction pécuniaire de 100 000 euros et a rendu publique sa décision. Une telle sanction apparaît bien dérisoire au regard des sanctions prévues par le RGPD qui entre en application le 25 mai 2018.
Ainsi, la Cnil rappelle que le recours à un sous-traitant, loin de libérer le responsable de traitement de ses obligations, créé une obligation supplémentaire de contrôle effectif des agissements de ce sous-traitant.
En pratique, les clients de Darty pouvaient -via un formulaire accessible sur internet- déposer une demande de services après-vente. Une fois la demande effectuée, un lien hypertexte était mis à leur disposition pour leur permettre de suivre l’avance de leur demande.
Ce lien URL était ainsi composé : http://darty.epticahosting.com/selfdarty/requests.do?id=XXX les « XXX » correspondant à l’identifiant de la demande. Or, il suffisait de modifier les « XXX » pour avoir accès, sans autre manipulation, aux demandes d’autres clients. En accédant aux données d’autres clients, une personne mal intentionnée pouvait récupérer des données à caractère personnel telles que le nom, le prénom, l’adresse postale, l’adresse de messagerie électronique et le contenu de la commande.
Un tel accès relève d’un accès frauduleux non autorisé à des données à caractère personnel sans qu’aucune mesure de sécurité n’ait été prise par le sous-traitant de Darty, la société Eptica. Pourtant, la société Darty, responsable du traitement est seule sanctionnée.
Après le RGPD : une responsabilité partagée par les cocontractants
En effet, le RGPD modifie les régimes de responsabilité lorsqu’il y a un recours à un sous-traitant :
- un contrat écrit devra être nécessairement conclu entre le responsable et son sous-traitant qui prévoira les obligations du sous-traitant en matière de droit des personnes ou de sécurité du traitement. A noter que le contrat devrait prévoir une clause d’audit par laquelle le responsable peut venir contrôler le respect par le sous-traitant de ses obligations en matière de données à caractère personnel.
- en application de l’article 32 du RGPD, le sous-traitant est dorénavant tenu directement d’une obligation de sécurité : il doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données qu’il traite pour le compte du responsable adapté au risque.
Pour rappel, le RGPD prévoit également une aggravation drastique des sanctions pécuniaires :
- Le premier niveau (10 millions d’euros ou 2% du chiffre d’affaire mondial de l’année précédente) correspond à des manquements tels que le manquement au principe du privacy by design, aux obligations en matière de PIA, de tenue de registre, de sous-traitance, de sécurité, etc.
- Le second niveau (20 millions d’euros ou 4% chiffre d’affaire mondial de l’année précédente) correspond à des manquements graves tels qu’un manquement aux droits des personnes, au devoir de loyauté ou de licéité du traitement, aux obligations en matière de consentement, etc.
Perspective :
En l’absence de clause spécifique de répartition des responsabilités, pour la même affaire, après le 25 mai 2018, la Cnil aurait pu : 1) infliger directement une sanction à Eptica en plus de celle infligée à Darty pour manquement à son obligation de sécurité et 2) infliger une sanction pécuniaire à Darty bien plus élevée pouvant aller jusqu’à 10 millions ou 2% du chiffre d’affaire mondial de l’année précédente.
La contractualisation des responsabilités des acteurs du traitement des données devient donc essentielle.
Avez-vous bien demandé à vos sous-traitants et prestataires s’ils étaient conformes au RGPD ? Avez-vous prévu des avenants à vos contrats ?
Pour toute question contactez-nous : ycohenhadria@marvellavocats.com