Aspects contractuels de la protection des données – RGPD et loi I & L modifiée

Aspects contractuels de la protection des données Le cabinet organise le 25 septembre 2019 un petit-déjeuner débat sur les aspects contractuels de la protection des données ; le RGPD et la loi Informatique et libertés modifiéeJean-François Forgeron et Jérémy Bensoussan ont le plaisir de vous y convier.

La protection des données personnelles entretient des liens étroits avec le droit des contrats. La contractualisation fait souvent intervenir une mise à disposition ou un flux de données personnelles entre les acteurs. Une réflexion doit nécessairement s’engager sur le rôle et la responsabilité de chacun.

En outre, le RGPD impose la conclusion de certains actes juridiques, en matière de sous-traitance ou de traitance conjointe par exemple.

Dans ce cadre, l’enjeu est d’établir des relations contractuelles fiables et d’organiser les répartitions de responsabilités.

La question de l’externalisation des risques via une assurance se pose également.

Tels sont les sujets qui seront abordés lors du petit-déjeuner débat « Aspects contractuels de la protection des données – RGPD et loi Informatique et libertés modifiée ». Jean-François Forgeron et Jérémy Bensoussan auront le plaisir de répondre à vos questions.

Le petit-déjeuner débat aura lieu le 25 septembre de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes

 




Data Protection Days : RGPD, responsable de traitement versus sous-traitant

Data protection daysAurélie Banck directrice du département Conformité RGPD Banque et Assurance du Cabinet Lexing Alain Bensoussan Avocats prendra la parole aux Data Protection Days à Luxembourg les 6 et 7 mai 2019. 

Le RGPD crée une responsabilité autonome du sous-traitant qui est désormais investi d’obligations en propre. Ce dernier peut être sanctionné directement par une autorité de contrôle.

A la lumière de la jurisprudence récente de la CJUE, il apparaît que la notion de co-responsabilité tend à s’étendre voire à se généraliser. Dès lors :

  • Quelle qualification choisir : responsable du traitement ? Sous-traitant ? Destinataire ?
  • Quelles responsabilités ?
  • Et quel contrat mettre en place ?
  • Avec quelles conséquences ?

Les Data Protection Days, Journées luxembourgeoises de la protection des données, sont un événement annuel de deux jours réunissant plus de 500 acteurs clés dans le domaine de la protection des données (PDG, DSI, Compliance Officer, RSSI, spécialistes RGPD, etc.). Le programme comprend des ateliers et des conférences animés par des experts nationaux et internationaux.

Une soirée de réseautage le 6 mai 2019 donnera aux participants l’occasion d’échanger leurs points de vue et de partager leurs expériences concernant le RGPD et sa mise en œuvre.

Programme et inscription.

Date : 6 et 7 mai 2019
Lieu : Chambre de commerce Luxembourgeoise
1, rue Bender
L-1229 Luxembourg

Isabelle Pottier
Directeur Études et Publications




Recommandations de l’Autorité bancaire européenne sur l’externalisation et RGPD

Autorité bancaire européenneL’Autorité bancaire européenne (EBA) a rendu public le 25 février 2019 les conclusions de sa consultation lancée en juin dernier sur les lignes directrices encadrant l’externalisation.

Certaines des recommandations se rapprochent de celles devant être appliquées dans le cadre de la gestion des opérations de sous-traitance au sens du RGPD.

Une consultation pour faire évoluer les orientations du CEBS

Le projet reprenait les lignes directrices du Comité européen des superviseurs bancaires (CEBS pour Committee of European Banking Supervisors) de 2006 applicables uniquement aux établissements de crédit pour étendre leur champ d’application à l’ensemble des établissements soumis au mandat de l’EBA notamment aux établissements de paiement et de monnaie électronique.

En outre, il intégrait les recommandations de l’EBA de décembre 2017 sur le recours à des fournisseurs de services de Cloud computing.

L’EBA a clôturé cette consultation et publié le 25 février 2019 ses nouvelles Lignes directrices de l’EBA sur l’externalisation (1). Ces dernières définissent la notion d’externalisation et des critères permettant de déterminer si l’activité externalisées est critique ou importante et fixent un cadre de gouvernance des opérations d’externalisation. Elles sont applicables à l’externalisation de fonctions critiques ou importantes mais pas uniquement et aux opérations d’externalisation intra et extra groupe.

A la lecture de ces recommandations, il apparaît que certaines d’entre elles se rapprochent de celles devant être appliquées dans le cadre de la gestion des opérations de sous-traitance au sens du RGPD.

Dès lors, il apparaît possible d’identifier des synergies entre ces deux process.

La documentation et le registre des externalisations

Les établissements de crédit et les établissements de paiement assujettis doivent tenir à jour un registre des externalisations et doivent documenter « appropriately » l’ensemble des accords d’externalisation. Ce registre qui dans le cadre d’un groupe peut être tenu au niveau central doit comporter pour chaque opération une liste d’information (2) dont notamment :

  • une référence ;
  • la date de début, la date du prochain renouvellement de contrat, la date de fin et/ou la période de préavis ;
  • une brève description de la fonction externalisée incluant les données et le cas échéant s’il s’agit de données à caractère personnel ;
  • le nom du prestataire et le ou les pays dans lesquels le service est réalisé ;
  • si l’externalisation porte sur une fonction critique ou importante (dans cette hypothèse des informations additionnelles doivent être conservées) ;
  • s’il s’agit d’un prestataire de Cloud computing, etc.

Par ailleurs, ce registre doit être mis à disposition des autorités compétentes à leur demande.

A proprement parler, le RGPD n’impose pas de tenir un registre des sous-traitants. Toutefois, le respect des exigences du Règlement, en particulier de son article 28, nécessite en pratique de mettre en place un programme de gestion des sous-traitants. Le RGPD impose en effet de recenser et de suivre les opérations externalisées comportant des traitements de données personnelles.

Dès lors, les établissements doivent peu ou prou collecter au titre du RGPD des informations similaires à celles mentionnées par l’EBA. Donc, dans un souci de rationalisation, stocker l’ensemble de ces informations au même endroit pourrait être un facteur de simplification et de cohérence des deux démarches.

L’évaluation des sous-traitants

Les Lignes directrices de l’EBA sur l’externalisation imposent de procéder à une évaluation du prestataire avant de procéder à cette externalisation. Les éléments à analyser sont listés au chapitre IV des lignes directrices.

Il s’agit notamment de conditions relatives aux modalités d’exercice (le prestataire doit-il être autorisés ou enregistrés pour exercer cette activité ? l’existence d’un accord de coopération entre les autorités de supervision respectives des deux parties, l’existence ou non de la possibilité de sous-traiter et les conditions de cette sous-sous-traitance, etc.). Les conditions de compétence et de réputation sont également analysées.

Si l’externalisation comporte des données personnelles, l’établissement doit d’assurer que le prestataire prend des mesures techniques et organisationnels appropriées pour les protéger.

Cette évaluation doit être maintenue et revue de manière périodique tout au long de la relation. Elle diffère en fonction de l’entité ayant la qualité de prestataire notamment s’il s’agit d’une entité du même groupe, une entité soumise au même cadre de gouvernance ou d’une entité extérieure.

Cette évaluation rappelle cette devant être réalisée dans le cadre du RGPD. L’article 28 précise que l’établissement « fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».

Le responsable du traitement doit donc évaluer en amont de la contractualisation la conformité au RGPD de son sous-traitant. Dans la mesure où l’évaluation au titre des lignes directrices est plus large, il apparait possible de capitaliser sur ce process pour procéder à l’évaluation des sous-traitants au titre de l’article 28 du RGPD voir de fusionner ces deux process.

Les dispositions contractuelles

L’article 13 des lignes directrices de l’EBA sur l’externalisation fixe la liste des exigences devant figurer dans l’accord d’externalisation. Ces dispositions incluent des éléments relatifs à la sécurité des données, à la sous-sous traitance de la prestation, au droit d’audit de l’établissement à l’initiative de l’opération, à la fin du contrat, etc.

Encore une fois les points communs sont nombreux avec la liste des exigences contractuelles figurant à l’article 28, 3 du RGPD.

Pour résumer, les lignes directrices de l’EBA sur l’externalisation qui seront applicables à compter du 30 septembre 2019, imposent la mise en place d’une véritable politique d’externalisation et la désignation d’une fonction en charge de ces opérations.

Pour conclure, au vu des nombreux points communs avec le processus de gestion des sous-traitants au sens du RGPD, les établissements assujettis auraient tout intérêt à rapprocher ces process afin d’en assurer la cohérence et d’en rationaliser les coûts.

Aurélie Banck
Lexing Conformité RGPD Banque et Assurance

(1) Final Report on EBA Guidelines on outsourcing arrangements (EBA/GL/2019/02).
(2) Une liste d’information : la liste exhaustive figure au point 54 des lignes directrices recommandations de l’EBA de décembre 2017 sur le recours à des fournisseurs de services de Cloud Computing.




Les outils de la compliance : l’exemple de la conformité au RGPD

complianceAlain Bensoussan évoque pour la revue du Grasco (*) les outils de la compliance en illustrant son propos par la conformité au RGPD.

A l’ère des algorithmes et de l’IA, les nouvelles technologies bouleversent tous les modèles de développement. Selon Alain Bensoussan, « les programmes de compliance, apparus dans les années 2000, n’y échappent pas, comme le démontre la conformité au RGDP qui cristallise toutes les attentions depuis plus de deux ans ».

Comme l’a défini le Cercle de la Compliance, un programme de compliance est un ensemble de processus « qui permettent d’assurer le respect des normes applicables à l’entreprise par l’ensemble de ses salariés et dirigeants, mais aussi des valeurs et d’un esprit éthique insufflé par les dirigeants  ».

C’est incontestablement le cas de la mise en conformité au Règlement général sur la protection des données  (« RGPD » ou « GDPR » en anglais), adopté le 27 avril 2016 et directement applicable dans tous les Etats membres depuis le 25 mai 2018.

Le déploiement, au sein des organisations des contraintes découlant du RGPD est une opération complexe. Selon Alain Bensoussan, « pour les entreprises, un seul mot d’ordre dans les mois à venir : assurer le maintien aux conditions opérationnelles de la conformité à la règlementation Informatique et libertés ».

Compliance RGPD : pas de conformité sans des outils dédiés

Une chose est certaine aux yeux de l’avocat-technoloque : la conformité Informatique et libertés ne peut être atteinte sans outils dédiés. Et, ajoute-t-il, « des outils s’inscrivant dans le cadre d’une logique de globalisation logicielle ».

En effet, même s’il est possible pour tout un chacun de faire par exemple l’acquisition d’un registre de traitements, d’un registre sous-traitant ou encore d’un registre violation de sécurité, voire de tout autre outil, comme une simple « brique », mieux vaut pour les organisations disposer de l’ensemble de la documentation en un seul endroit, où le responsable de traitement et le délégué à la protection des données pourront retrouver aisément l’ensemble des documents.

Conformité au RGPD et logique de globalisation logicielle

Cette approche est à ses yeux un élément majeur dans le cadre du déploiement d’un programme de conformité. En effet, plus les outils sont disparates, moins l’information sera globale et pertinente.

Cela permet, dans le cadre du suivi des traitements, mais également et surtout en cas de contrôle, de disposer de la même information à partir de différents terminaux, à toute heure du jour et de la nuit.

Et Alain Bensoussan de conclure : « la mise en place de programmes de compliance constitue un enjeu stratégique et organisationnel qui ne saurait faire l’économie de la mise en place d’outils dédiés. A l’heure de la disruption digitale, ces outils permettront d’optimiser le déploiement de due diligences dans le cadre de programme de compliance, qu’il s’agisse du RGDP, de la loi Sapin 2 et demain, d’autres projets ».

Revue du Grasco n°25, décembre 2018 : la revue du GRASCO est consultable  sur www.larevuedugrasco.eu qui renvoie sur tous les numéros de la revue ».

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique

(*) La revue du GRASCO est un trimestriel édité par le GRASCO (Groupe de Recherches Actions Sur la Criminalité Organisée) ayant pour thème principal la prévention et la répression de la criminalité organisée dans sa dimension économique et financière à l’échelle nationale, européenne et internationale. Les contributions s’adressent à tous les acteurs de la prévention et de la répression de la criminalité organisée.




RGPD : Que reste-il de la sous-traitance ?

sous-traitance

Aurélie Banck, directrice  Conformité RGPD Banques & Assurances, Lexing Alain Bensoussan – Avocats a animé un petit-déjeuner débat consacré au RGPD et à la sous-traitance, le 30 janvier 2019.

Le Règlement européen a bousculé les relations contractuelles entre responsable du traitement et sous-traitant. Ce dernier est investi d’une responsabilité en propre lui faisant désormais encourir le même niveau de sanction.

Or, la relation entre le sous-traitant et le responsable du traitement n’est pas unilatérale à tel point qu’une nouvelle notion celle de responsabilité conjointe vient modifier les équilibres contractuels existants. 

Alors que deux décisions récentes de la Cour de justice de l’Union européenne (1), viennent préciser cette notion de coresponsabilité en matière de sous-traitance, venez discuter de cette question et de l’organisation des relations entre sous-traitants et responsable du traitement lors de ce petit-déjeuner.

(1)  CJUE 5-6-2018, affaire C‑210/16, voir notre article du 7 juin 2018 et CJUE 10-7-2018, affaire C‑25/17, voir article Virginie Bensoussan-Brulé du 24 septembre 2018.

Le petit-déjeuner débat a eut lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




RGPD et sous-traitant : la nouvelle donne

RGPD et sous-traitantAurélie Banck livre pour Les Échos son analyse sur la nouvelle place faite au sous-traitant par le RGPD.

Le RGPD étend expressément les obligations du responsable du traitement au sous-traitant qui traite des données personnelles pour le compte de ses clients. Néanmoins, comme le souligne Aurélie Banck, la relation entre le sous-traitant et le responsable du traitement n’est pas unilatérale.

Tout d’abord, cette relation est nécessairement formalisée par un contrat ou tout autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen.

Ensuite, le sous-traitant a une obligation loyauté et de transparence qui le contraint à recenser par écrit les instructions de son client concernant les traitements de ses données afin de prouver qu’il agit « sur instruction documentée du responsable de traitement ».

De son côté, le responsable de traitement doit communiquer au sous-traitant les procédures lui permettant de respecter ses obligations notamment en matière de notification des violations de données. Il doit donc définir des process nécessaires au bon déroulement de la relation.

La relation n’est donc pas unilatérale, raison pour laquelle, souligne Aurélie Banck,  «  une bonne collaboration entre l’ensemble des parties apparaît nécessaire ».

Aurélie Banck, « RGPD : Pourquoi la relation entre sous-traitant et responsable du traitement n’est pas unilatérale », Les Echos du 24 septembre 2018.




Cloud computing et conformité RGPD : surmonter les paradoxes

Cloud computing et conformité RGPDConfronter Cloud computing et conformité RGPD (Règlement général sur la protection des données) peut sembler paradoxal.

Tel était le thème du Petit-déjeuner débat du 11 avril 2018 animé par Eric Le Quellenec et Edouard Camoin, responsable de la sécurité des systèmes d’information (RSSI) de la société Outscale.

En effet, le RGPD impose de nouvelles règles contraignantes sur un territoire restreint quand le cloud computing a vocation à se développer à l’international avec un objectif de service toujours plus performant.

Cloud computing et conformité RGPD : de nombreuses obligations

Cloud computing et conformité RGPD

Le RGPD impose de nombreuses obligations notamment en matière de sous-traitance. Il est donc important, dans un premier temps, d’écarter la responsabilité conjointe car les prestataires du cloud n’en veulent pas.

Concernant la clause de sous-traitance, celle-ci doit mentionner tous les points de l’article 28 du RGPD. Par ailleurs, il est nécessaire de mentionner :

  • la forme des instructions du client ;
  • l’arrêt des services par le sous-traitant pour une instruction illégale ;
  • la mention d’une obligation de moyen ou de résultat ;
  • le déplafonnement ou pas de la clause limitative de responsabilité ;
  • un droit de résiliation du contrat pour refus d’un sous-traitant ultérieur par le client ;
  • la mise en place d’un audit de manière indépendante et non pas automatique dès qu’une faille de sécurité apparaît ;
  • les délais pour la destruction des données à la fin du contrat.

Marché cloud US centré et RGPD

L’entrée en vigueur du RGPD n’empêche pas de continuer à travailler avec les Etats-Unis. Cependant, la Cnil conseille de ne contracter qu’avec les prestataires qui s’auto-déclarent conformes au Privacy Shield.

Affaire Microsoft Ireland

Dans le cadre d’un trafic de stupéfiants, la justice américaine a souhaité avoir accès à des données personnelles qui étaient stockées dans les serveurs de Microsoft Irland. Mircosoft Irland ayant refusé toute fourniture de données en l’absence de décision de justice américaine et d’exequatur en Irlande, les Etats-Unis ont voté une nouvelle loi : le Cloud Act (Clarifying Lawful Overseas Use of Data Act).

D’après ce Cloud Act, les Etats-Unis peuvent imposer à toute personne physique ou morale américaine ou rattachée aux Etats-Unis, d’après la définition de la « US Person » du Cloud Act, de divulguer des informations dans le cadre d’une décision judiciaire et ce même si cette personne est localisée en dehors des Etats-Unis.

Cloud computing et conformité RGPD

Le cloud souverain, une solution

Amazon étant le leader sur le marché du cloud, Outscale est une alternative qui propose une des infrastructures « multisouverains » (comprendre par régions) configurables sur mesure.

Concernant le transfert de données européennes aux Etats-Unis, sans revenir sur le Cloud Act, les contraintes sont nombreuses et les garanties faibles alors que concernant la conformité au Privacy Shield, il faut savoir que toute entreprise américaine peut être déclarée conforme si elle en paye le prix.

Eric Le Quellenec
Aurélie Alcaraz
Lexing Informatique conseil




Contrats cloud, RGPD et plafond de responsabilité

RGPD et plafond de responsabilité

Responsables du traitement et sous-traitants se posent tous la question du lien entre RGPD et plafond de responsabilité.

A moins de 70 jours de l’entrée en application du RGPD, le régime de la répartition des risques et donc du plafond de responsabilité tient une place importante dans les négociations des contrats de sous-traitance.

Dans la mesure où le droit des contrats ne rentre pas dans les compétences exclusives de l’Union européenne, le RGPD ne traite pas directement du régime de responsabilité contractuel entre les parties. Il n’en demeure pas moins que le RGPD trace des perspectives claires sur ce que peuvent être les stipulations du contrat de sous-traitance.

La Cnil ne prévoit pas non plus de réponse claire dans son guide du sous-traitant publié en septembre 2017 (1).

RGPD et plafond de responsabilité : rappel des dispositions impactantes

L’article 28 du RGPD prévoit d’ores et déjà des obligations très claires entre responsable du traitement et sous-traitant. Ces obligations doivent être déclinées par contrat (2).

Il faut se référer à l’article 82 pour trouver des dispositions du RGPD avec influence directe sur le régime de responsabilité entre les parties. Cet article intitulé « Droit à réparation et responsabilité » trace deux lignes blanches qu’aucune des parties ne peut franchir. Il ne peut, en particulier, y avoir d’exclusion de responsabilité :

  • envers la personne physique concernée par le traitement ;
  • pas plus qu’envers l’autorité de contrôle prononçant une sanction.

A la lecture du même article, les parties peuvent écarter leur responsabilité si « le fait qui a provoqué le dommage ne lui est nullement imputable ». De même, si une partie a supporté à l’égard de la personne concernée, tout ou partie d’une indemnisation versée au profit de cette dernière, alors elle peut se retourner auprès des autres responsables du traitement ou sous-traitant pour que cette charge soit répartie à concurrence de la part de responsabilité respective de chaque intervenant au traitement.

Ces dispositions sont fondamentales alors que le risque financier envers les personnes concernées est très important et qu’il va être accru par l’introduction des actions de groupe en la matière (3).

RGPD et plafond de responsabilité : liberté contractuelle

Sous réserve des dispositions précitées, les parties sont libres, par contrat, de prévoir cumulativement ou alternativement :

  • l’entière responsabilité envers la personne concernée dès lors que la faute est exclusivement imputable à l’une ou l’autre des parties ;
  • entre elles uniquement, une limitation de responsabilité proportionnée au risque et sans vider pour autant de sa substance l’objet du contrat ;
  • un mécanisme de garantie entre elles des risques vis-à-vis de la personne concernée, le cas échéant selon certains seuils, avec renonciation irrévocable à opposer quelque bénéfice de discussion (la partie tenue de payer doit l’avoir fait) ou de division (chaque partie ne paye qu’au prorata de sa part de responsabilité) ;
  • un régime de preuve (obligation de moyens ou de résultat) adapté à la nature du service concerné ;
  • un mécanisme de conciliation, médiation ad hoc.

Particulièrement délicat, le lien entre RGPD et plafond de responsabilité, suppose une discussion raisonnable et adaptée au risque entre les parties.

Eric Le Quellenec
Lexing Informatique conseil

(1) Cnil, Guide du sous-traitant, septembre 2017
(2) Contrat cloud : les impacts du RGPD sur la sous-traitance, post du 30-1-2017
(3) Projet de loi relatif à la protection des données personnelles,  Doc. Ass. nat. n° 490 du 13-12-2017




L’impact du RGPD sur la DSI, Direction des systèmes d’information

L’impact du RGPD sur la DSILexing Alain Bensoussan Avocats est intervenu sur de la question de l’impact du RGPD sur la DSI Direction des systèmes d’information à la Cité de l’Espace, à Toulouse, dans le cadre d’une conférence organisée par Exaprobe, le 27 septembre 2017.

Ont été évoqués successivement les problématiques liées aux nouvelles obligations en matière de sécurité et de prévention, le cadre juridique particulier des analyses d’impact et les nouvelles règles relatives à la sous-traitance (1).

L’impact du RGPD sur la DSI en matière de sécurité

Il faut rappeler que la sécurité des données fait partie intégrante de l’article 5 du RGPD qui consacre les principes généraux relatifs au droit des données personnelles.

L’article 5, f) du RGPD dispose ainsi que les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées » (intégrité et confidentialité).

Ont également été détaillées les nouvelles obligations en termes de protection d’une part (art. 25 du RGPD) et de sécurisation des données d’autre part (art. 32 du RGPD).

L’impact du RGPD sur la DSI et la nouveauté des PIA

Il a également présenté le droit nouveau des analyses d’impact, aussi connu sous le terme de PIA (art. 35 et 36 du RGPD) que les responsables de traitement devront nécessairement réaliser lorsque le traitement, en particulier par le recours à des nouvelles technologies est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes.

L’impact du RGPD sur la DSI concernant les sous-traitants

Enfin ont été détaillées les nouvelles règles du jeu relatives à la relation entre le responsable de traitement et son ou ses sous-traitant(s) (art. 24 et suivants du GRPD) et notamment :

  • l’obligation, pour le responsable de traitement, de faire « uniquement appel » à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement et garantisse la protection des droits de la personne concernée ;
  • les 8 règles de fond que doivent respecter tous les contrats conclus entre un responsable de traitement et ses sous-traitants ;
  • les nouvelles règles relatives à la sous-traitance en cascade;
  • l’obligation d’alerte spécifique des sous-traitants sur les éventuels manquements au RGPD.

Lexing Alain Bensoussan Avocats
Lexing Droit numérique

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)




RGPD : droits et obligations du sous-traitant de rang 2

sous-traitant de rang 2Le RGPD envisage de manière claire les droits et obligations du sous-traitant de rang 2 avec des enjeux contractuels forts.

Les architectures techniques dans le cloud sont complexes et font régulièrement intervenir des sous-traitants (« data processor » en anglais) à plusieurs niveaux. Lorsque des données personnelles sont traitées dans le cloud, le RGPD (1) pose une exigence de transparence forte.

Sous-traitant de rang 2 : information – acceptation

L’article 28, §2 et 4 du RGPD traitent directement du sous-traitant de rang 2.

Le responsable du traitement (« data controller ») doit obtenir l’autorisation écrite préalable lorsque son sous-traitant entend confier tout ou partie de la mission qui lui est confiée à un sous-traitant de rang 2.

Même après acceptation formelle, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par le sous-traitant de rang 2 de ses obligations. Ces obligations sont transposables aux sous-traitants de rang supérieur (du troisième rang et au-delà).

Le contrat entre sous-traitants

Le contrat entre sous-traitants doit a minima transposer les obligations du contrat prises vis-à-vis du responsable du traitement. En pratique, cette transposition est souvent qualifiée de contrat « back to back ».

Il est donc nécessaire de retrouver les prescriptions de l’article 28, §3 du RGPD, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement.

Déclinées dans quelque contrat cloud (IaaS, PaaS, SaaS) que ce soit, les obligations précitées au titre de la sous-traitance pourront notamment se présenter comme suit :

  • un article « déclarations » dans lequel le sous-traitant de rang 2 est informé de la finalité du traitement fixée par le responsable du traitement, lequel est réalisé à partir des moyens fournis par les prestataires cloud ;
  • l’article « instructions » précise comment les directives sont transmises d’un prestataire à l’autre et les modalités selon lesquelles ils doivent les prendre en compte ;
  • l’article « sécurité » présente, en lien avec une annexe plan d’assurance sécurité, la politique de sécurité physique et logique déployée par les prestataires cloud outre les mesures applicables en cas d’intrusion frauduleuse (« data breach process ») ;
  • la coopération entre sous-traitants doit être prévue pour que la personne concernée par le traitement (« data subject ») puisse exercer ses droits ;
  • l’article « confidentialité » ne doit pas concerner seulement les propres salariés du prestataire mais doit comporter un engagement de porte-fort envers les éventuels autres sous-traitants ou free-lance mobilisés par le prestataire cloud dans l’exécution de ses obligations ;
  • des articles sur l’obligation d’information (et pas seulement en cas d’intrusion) et les modalités d’audit sont également nécessaires au regard de l’article 28 du DPO ;
  • la localisation des données dans ou hors de l’Union européenne impliquera dans ce dernier cas, si le pays concerné n’est pas considéré comme ayant un niveau de protection adéquat (voir pour les Etats-Unis le Bouclier de protection des données EU-Etats-Unis (2)), alors il convient de conclure des clauses contractuelles types (3) ;
  • des précisions sur la fin des relations contractuelles et la destruction des données dans le cloud.

Le contrat entre le sous-traitant de rang 2 et de rang 3, par exemple, devra également répondre à ces prescriptions.

Sous-traitants de rang 2 et allègement du contrat

Pour que le contrat du sous-traitant de rang 2 ne devienne pas illisible, il est envisageable de renvoyer les obligations du RGPD rappelées plus haut dans une annexe dédiée.

Mais, en réalité, la seule solution efficace pour simplifier le contrat est d’obtenir une certification.

En effet, le sous-traitant de rang 2, comme celui de rang 1, pourra être certifié. Sans préjudice des dispositions du contrat, l’article 28 du RGPD permet au sous-traitant d’adhérer à un code de conduite visé à l’article 40 ou à un mécanisme de certification (article 42) pour démontrer qu’il possède les garanties suffisantes (article 28, §5). Les clauses du contrat correspondant n’auront ainsi pas à être autant détaillées, du moins tant que la certification reste applicable à chacun des sous-traitants.

Eric Le Quellenec
Lexing, Département informatique conseil

(1) Règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).
(2) C. Avîgnon, « La décision d’adéquation pour l’EU-US Privacy Shield », Alain-Bensoussan.com 13-7-2016.
(3) C. Torres, « Les BCR sous-traitants, un instrument d’encadrement des flux », Alain-Bensoussan.com 7-12-2016.




Editeurs, optez pour une authentification RGPD compliant

authentification RGPDEditeurs, proposez un module Authentification RGPD pour une gestion de mots de passe conforme aux recommandations Cnil.

Les éditeurs de logiciel doivent concilier la position de la Cnil sur les modes d’authentification et les obligations du RGPD.

A la suite de nos articles « Editeurs, proposez un module d’habilitation RGPD compliant » et « Editeurs, proposez un module de monitoring des zones libres », nous poursuivons notre exploration des modules et fonctionnalités qui devraient être intégrés par les éditeurs dans leurs produits pour permettre à leurs clients de faciliter leur compliance informatique et libertés.

Dans cette série, notre présent article aborde les modules d’accès et d’authentification.

Les modules accès et authentification RGPD : une zone de risque de compliance

Le règlement (Règl. (UE) 2016/679 du 27-4-2016) à l’instar de la loi informatique et libertés fait peser sur les responsables de traitement une obligation de sécurité, qui est fonction des finalités du traitement et des risques qui pèsent sur les droits et libertés des personnes.

Le responsable de traitement doit mettre en œuvre des mesures techniques et opérationnelles « pour garantir un niveau de sécurité adapté au risque ». Ces mesures peuvent prendre des formes distinctes. Ainsi, la pseudonymisation et le chiffrement sont des mesures de sécurité mentionnées dans le texte. Mais avant tout il y a lieu pour le responsable de s’assurer que l’accès aux bases de données et aux logiciels qu’il utilise sont conforme à l’état de l’art et lui permette de répondre à son obligation de sécuriser les accès.

Recommandation de la Cnil sur les mots de passe

En matière d’accès et d’authentification, la Cnil estime que si le couple « identifiant-mot de passe » est le plus répandu, il n’est pas pour autant le plus sûr.

La Cnil fixe des modalités techniques minimales en ce qui concerne la création des mots de passe (Délib. Cnil 2017-012 du 19-1-2017). Quatre cas d’authentification sont à distinguer, en fonction desquels les règles de création des mots de passe sont plus ou moins contraignantes.

Le mot de passe pour l’accès à une messagerie électronique ou à un compte d’entreprise devra contenir au minimum 8 caractères avec au moins trois des quatre types de signes différents (minuscule, majuscule, chiffre, caractère spécial) ; l’éditeur devra rendre techniquement possible des mesures de restriction d’accès au compte telles que la temporisation d’accès au compte après plusieurs échecs, le verrouillage du compte après dix échecs ou bien l’insertion d’un captcha.

Module accès et authentification RGPD

Les éditeurs doivent adopter une démarche de protection des données dès la conception : ils doivent donc penser dès la conception d’un produit à intégrer des modules et fonctionnalités pour un accès et une authentification RGPD permettant aux responsables de traitement de respecter leurs obligations informatique et libertés.

Indépendamment de ces outils et fonctionnalités, il appartient au responsable de traitement de former, sensibiliser ses utilisateurs aux règles élémentaires de sécurité notamment en se dotant d’une charte des moyens informatiques et d’une charte administrateurs.

Lexing Alain Bensoussan Selas
Lexing Publicité et marketing électronique

1) Règl. (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L 119 du 4-5-2016, p. 1-88).
2) Délib. Cnil n° 2017-012 du 19-1-2017 portant adoption d’une recommandation relative aux mots de passe (JORF du 27-1-2017).




Un module RGPD monitoring des zones libres pour éditeurs

RGPD monitoring des zones libresCompliance au règlement : éditeurs de logiciels, développez un outil spécifique RGPD monitoring des zones libres. Ces zones libres sont, pour les responsables de traitement, des zones de risques Informatique et libertés pouvant nuire à leur compliance.

A la suite de notre article « Editeurs, proposez-vous des habilitations RGPD compliant ? », nous poursuivons notre exploration des modules et fonctionnalités qui devraient être intégrés par les éditeurs dans leurs produits pour permettre à leurs clients de faciliter la compliance informatique et libertés.

Dans cette série, notre présent article s’intéresse aux zones libres ou zones de commentaires libres.

RGPD monitoring des zones libres : gérer ces zones de commentaires à risque

Le RGPD impose aux responsables de traitement d’adopter, concernant la mise en œuvre de leurs traitements, une démarche de protection dès la conception et de sécurité par défaut. Mais il impose également le principe de responsabilité.

Dans ce nouveau paradigme, où le responsable de traitement se doit de démontrer qu’il a mis en œuvre des politiques et procédures permettant de s’assurer du respect des contraintes Informatique et libertés, un besoin pressant d’outils de monitoring et de contrôle se fait jour.

Dans ce contexte, les éditeurs de logiciels, s’ils veulent être sélectionnés par les responsables de traitement, vont devoir intégrer dans leurs offres des modules leur permettant de respecter leurs obligations en matière de protection des données.

Les outils RGPD monitoring des zones libres sont nécessaires à la compliance

En tant que zones à risques de compliance, les zones libres ou de commentaires libres requièrent des outils de monitoring.

En effet, les zones de commentaires libres présentent des risques au regard de la vie privée puisqu’elles permettent la saisie d’informations qui ne sont, ni adéquates et pertinentes, ni non-excessives (Cnil, Délib. 2016-370 du 1-12-2016).

Si la responsabilité de la collecte et du traitement de ces données pèse sur le responsable de traitement, il n’en demeure pas moins vrai que l’éditeur qui propose un module RGPD monitoring des zones libres, facilitera le contrôle de ces zones par le responsable de traitement. Parmi les outils que devraient intégrer les éditeurs dans leurs produits figurent :

  • Un bandeau d’avertissement à proximité des zones de saisie ;
  • Un process de monitoring et de filtrage consistant à remplacer, à priori ou à posteriori, les mots interdits ;
  • Un dictionnaire de mots interdits ;
  • Un outil d’analyse sémantique qui fonctionne sur la base d’un dictionnaire, et un outil d’administration de l’outil d’analyse ;
  • Une traçabilité pour faciliter la sensibilisation et la formation des utilisateurs.

Ces outils ne sont que des exemples de ceux qui devraient être intégrés dans les logiciels. Ils ne sont pas exhaustifs mais représentent un minimum pour permettre aux responsables de traitement faisant l’acquisition d’un logiciel ayant un module RGPD monitoring des zones libres, de gérer ces zones à risque. Bien évidemment, le responsable de traitement devra accompagner ces outils d’audits réguliers ainsi que d’actions de sensibilisation et de formation afin de responsabiliser ses utilisateurs.

Lexing Alain Bensoussan Avocats
Lexing Publicité et Marketing électronique

1) Délibération Cnil n° 2017-015 du 19-1-2017 autorisant la Direction des Services Départementaux de l’Education Nationale de Meurthe-et-Moselle à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la gestion et le suivi de l’absentéisme scolaire.




Editeurs, proposez-vous des habilitations RGPD compliant ?

habilitations RGPDPour la gestion des habilitations RGPD, il est nécessaire pour les éditeurs de proposer des solutions RGPD compliant. La compliance est, en effet, liée au choix de solutions intégrant by design des fonctions permettant le respect des obligations issues du RGPD. Si l’éditeur d’un logiciel n’est pas responsable du traitement qui est mis en œuvre par son client, en revanche, compte tenu de la position de la Cnil qui est de considérer qu’il revient au responsable de traitement, de choisir des solutions lui permettant de respecter ses obligations, il apparaît que les éditeurs ont donc tout intérêt à aider leurs clients à se conformer à leurs obligations en leur proposant des solutions « RGPD compliant ».

A cette fin, nous allons publier une série d’articles afin d’identifier les fonctionnalités ou éléments qui devraient être présents dans un logiciel pour permettre aux clients responsables de traitement de respecter les obligations issues du RGPD.

Une nécessaire conformité des logiciels au RGPD

Le RGPD (1), à l’instar de la loi Informatique et libertés (2), exige que les données à caractère personnel soient traitées de manière à garantir une sécurité et une confidentialité appropriées de ces données ce qui suppose d’éviter que des tiers non autorisés y aient accès mais aussi que les destinataires des données n’accèdent qu’aux données nécessaires à la réalisation de la mission ou de la finalité qu’ils accomplissent.

Selon les termes du RGPD, il faut entendre comme destinataire toute personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers.

Si l’outil ne peut permettre de gérer l’accès des données aux tiers, auxquels le responsable de traitement transfèrerait des données, en revanche, il devrait permettre au responsable d’octroyer des droits aux utilisateurs selon leurs fonctions, missions et autre périmètre géographique.

Il apparaît essentiel pour les éditeurs de mettre en place des outils garantissant et permettant à leurs clients, responsables de traitement, de se conformer à la réglementation Informatique et libertés.

Le développement des logiciels ne peut plus se concevoir sans prendre en compte les règles applicables en matière de protection des données personnelles. La mise en place d’outils permettant un haut niveau de conformité représentera un avantage concurrentiel de premier ordre pour les éditeurs.

Gestion des habilitations RGPD au sein des logiciels

Une fois que les responsables de traitements ont identifié précisément les seules personnes pouvant légitimement avoir accès aux données à caractère personnel contenues dans les logiciels mis à leur disposition, les éditeurs doivent impérativement leur offrir la possibilité de mettre en place :

  • un mécanisme de définition des niveaux d’habilitation ;
  • un moyen de contrôle des permissions d’accès aux données.

Pour ce faire, il est recommandé aux éditeurs de développer des outils dédiés à la gestion des habilitations au sein des logiciels qu’ils développent. Il leur faudra définir des profils d’habilitation dans les systèmes en séparant les tâches, les domaines de responsabilité, et le périmètre géographique afin de limiter l’accès aux données aux seuls utilisateurs dûment habilités.

A titre d’illustration, au sein d’un outil dédié à la gestion des ressources humaines, les écrans dédiés à la gestion de la paye ne devraient être accessibles qu’au service en charge de la gestion de la paye et non pas au service en charge de la formation du personnel ou des relations sociales.

Ces différents critères doivent pouvoir être combinés, c’est-à-dire qu’il devra être possible de définir un profil d’habilitation sur la base d’un profil métier mais également d’un périmètre géographique donné.

Gestion des habilitations RGPD

La gestion des habilitations RGPD devraient également pouvoir être définie à la donnée permettant ainsi que la restitution des champs sur une même page, puisse être différente en fonction de la nécessité d’accès de chaque profil. Les habilitations doivent encore pouvoir être définies en termes d’actions et une distinction doit pouvoir très opérée entre les droits pour la création, la modification, la suppression ou encore la consultation des données contenues dans le logiciel.

Des outils doivent, en outre, être développés pour permettre les mises à jour de ces habilitations RGPD : il convient de prévoir que les permissions d’accès des utilisateurs disparaissent dès qu’ils ne sont plus habilités à accéder aux données concernées, ou à la fin de leur période d’emploi. Le rappel de la nécessité d’une vérification fréquente des profils d’habilitation devrait également être automatisé. A titre d’illustration, une alerte automatique pourrait être générée après un certain temps d’inactivité d’un compte donné afin de déterminer s’il convient ou non de le maintenir.

Le déploiement de telles possibilités au sein des logiciels permettra aux éditeurs de se distinguer sur le marché.

De manière plus générale, une revue globale de la conformité de leurs logiciels au regard des exigences Informatique et libertés leur permettra de mettre en avant un comportement responsable et la conformité de leurs outils au RGPD auprès de leurs clients et prospects.

Céline Avignon
Anne Renard
Lexing Publicité et Marketing électronique

(1) Article 28 §1 du règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
(2) Article 34 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés