Contrats cloud : les impacts du RGPD et la cotraitance

Le règlement général de protection des données personnelles précise la notion de cotraitance, pertinente pour le cloud.

La notion de responsables conjoints du traitement était esquissée dans la directive 95/46/CE du 24 octobre 1995 (1) sur la protection des données personnelles. Le règlement (« RGPD ») (2) comporte des dispositions beaucoup plus précises, applicables à compter du 25 mai 2018. L’application de ces dispositions pour les services dans le cloud paraît tout indiquée dans plus d’hypothèses que l’on ne pourrait le penser de prime abord.

Cotraitance et cloud-computing : un cas de figure possible

Alors que, classiquement, le prestataire dans le cloud est qualifié de sous-traitant (« data processor »), son client, exploitant les données à caractère personnel est qualifié de responsable du traitement (« data controller »). Le cloud computing vient rebattre les cartes.

Déjà en 2012, dans ses Recommandations pour les entreprises qui envisagent de souscrire à des services de cloud computing (3), la Cnil envisageait un régime de cotraitance (responsabilité conjointe), partant du constat que le prestataire du cloud fixe par lui-même les moyens nécessaires au traitement envisagé de données personnelles (4).

Pour les services de type SaaS, incluant des fonctionnalités métiers, c’est même, d’une certaine manière la finalité du traitement qui serait partagée. Ce dernier point est particulièrement sensible, car, en pratique, certaines sociétés du Cloud prétendent en apparence ne fournir qu’un service d’hébergement managé (de type IaaS), et se réservent pourtant dans les conditions d’utilisation de leurs services le droit d’accéder aux données et effectuer leur propre traitement.

Sous l’empire du RGPD, l’analyse de la Cnil ne s’appliquera que d’autant mieux qu’il est prévu, à l’article 26 du règlement, une définition claire de la notion de responsable conjoint du traitement. Ledit article précise que ces « responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement » et en particulier :

• le point de contact pour la personne physique concernée par le traitement ;
• la communication des informations visées aux articles 13 et 14 du RGPD.

C’est par contrat que ces exigences de transparence doivent se concrétiser (article 26§2).

Cotraitance et contrat : les principales dispositions

L’accord visé dans le RGPD doit refléter dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées (« data subjects »).
Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.

Déclinées dans quelque contrat cloud (IaaS, PaaS, SaaS) que ce soit, les obligations précitées au titre de la cotraitance pourront notamment se présenter comme suit :

• un article « finalité » fixant la ou les finalités du traitement partagées totalement ou partiellement entre les parties ;
• l’article « moyens » précise les mesures techniques et organisationnelles pour effectuer le ou les traitements conformément au règlement avec maintien en conditions opérationnelles (« accountability »), ainsi que le partage, le cas échéant, des responsabilités techniques à ce titre ;
• l’article « sécurité » : présente, en lien avec une annexe plan d’assurance sécurité, la politique de sécurité physique et logique convenue des parties, outre les mesures applicables en cas d’intrusion frauduleuse (« data breach process ») ;
• l’article « point de contact » et « information de la personne concernée » va préciser qui, vis-à-vis de cette personne, va effectivement lui répondre et s’assurer du respect effectif de ses droits ;
• les conditions d’intervention d’un sous-traitant au sous-traitant doivent aussi être prévues au contrat ;
• l’article « confidentialité » ne doit pas concerner seulement les propres salariés de chacun des responsables conjoints du traitement mais doit comporter un engagement de porte-fort envers les éventuels autres sous-traitants ou free-lance mobilisés par l’une ou l’autre des parties ;
• la localisation des données et les responsabilités respectives en découlant, en cas de traitement transfrontières ;
• le partage des risques et de la responsabilité entre les responsables conjoints, étant précisé que vis-à-vis de la personne concernée la responsabilité de chacun des responsables conjoints est solidaire (art. 26§3 du règlement) ;
• des précisions sur la fin des relations contractuelles et la destruction des données dans le cloud.

Au-delà de l’hypothèse du cloud computing, la notion de cotraitance (responsabilité conjointe) au sens du RGPD peut également être pertinente pour les échanges de données entre sociétés d’un même groupe ou appartenant à un même réseau de distribution.

Eric Le Quellenec
Lexing Droit Informatique

(1) Directive 95/46/CE du 24-10-1995, art. 2 d)
(2) Règlement 2016/679 du 27-4-2016
(3) Cnil, Recommandations, page 6
(4) Post du 23-7-2013