Données personnelles : les responsabilités du sous-traitant précisées

Pour répondre aux questions posées par l’externalisation et par le cloud computing, le futur règlement européen sur les données personnelles prévoit une nouvelle répartition des responsabilités entre donneurs d’ordre et sous-traitants.

Les nouvelles obligations du responsable de traitement…

Dans la loi actuelle, le responsable d’un traitement de données personnelles doit s’acquitter d’un certain nombre de formalités administratives (déclaration ou demande d’autorisation à la Cnil), respecter plusieurs obligations (information des personnes concernées, obtention de leur consentement, sécurité des données, etc.) et plusieurs interdictions (pas de traitement de données concernant l’origine ethnique, la religion ou l’état de santé, limitation de la durée de conservation des données, pas d’exportation des données hors de l’Union européenne…). Notre code pénal punit déjà le non-respect de ces exigences de cinq ans de prison et de 300 000 euros d’amende, mais reconnaissons qu’aucun juge n’a jamais prononcé de telles peines.

Le projet de règlement européen vise à alléger les formalités préalables. En contrepartie, les responsables de traitement devront s’acquitter d’une obligation de documentation concernant les systèmes mis en œuvre, et réaliser une analyse d’impact, tous documents qui devront être tenus à la disposition de la CNIL dont la mission de contrôle serait renforcée.

Alors qu’aujourd’hui la loi Informatique et libertés ne s’applique pas aux responsables de traitements établis hors de l’Union européenne, le projet de règlement s’appliquerait à tous les responsables de traitements offrant des biens ou des services à des personnes résidant dans l’UE, ou observant leur comportement. Le non-respect de ces nouvelles obligations serait puni d’une amende de 0,5 à 1 million d’euros, ou 1 à 2 % du chiffre d’affaires mondial de l’entreprise.

..et une nouvelle répartition des responsabilités avec les sous-traitants

Le droit actuel fait reposer toutes les obligations sur le responsable du traitement, même si celui-ci externalise certaines fonctionnalités (comme la paie ou le support client par exemple), ou s’il recourt au cloud computing : il est censé garantir aussi bien la localisation de ses données que le respect de toutes les autres prescriptions de la loi par ses sous-traitants. Le sous-traitant ou le prestataire de cloud n’existent actuellement pas au regard de la loi Informatique et libertés.

Le projet de règlement donne enfin une existence légale au sous-traitant. Il prévoit que les responsabilités de celui-ci devront être déterminées par contrat avec le donneur d’ordres. Si le sous-traitant ne respecte pas les instructions du responsable du traitement, alors il serait considéré comme responsable conjoint, et encourrait les sanctions mentionnées plus haut.

Plusieurs amendements ont été déposés par des députés européens pour alléger la responsabilité du sous-traitant, souvent sous l’influence de lobbyistes cherchant à diminuer les exigences pesant sur les entreprises. Les débats au Parlement européen promettent d’être vifs dans les prochaines semaines. La Commission européenne espère une adoption du règlement d’ici la fin de l’année, pour une entrée en vigueur deux ans après sa promulgation.

Fabrice Mattatia, expert en confiance numérique

Fabrice Mattatia, expert en confiance numérique