Les risques liés à la sous-traitance au regard du RGPD

On entend par sous-traitance, toute opération par laquelle une entreprise, appelée donneur d’ordre, confie à une autre entreprise, appelée sous-traitant, la mission de réaliser pour elle une partie des actes de sa production et, ou de ses services et dont elle demeure responsable : en France, le régime applicable à la sous-traitance est notamment encadré par la loi du 31 décembre 1975 (n°75-1334).

Si le recours à la sous-traitance présente des avantages tels qu’une exploitation stratégique des ressources, l’accès à une expertise, le maintien d’une réactivité face à un accroissement temporaire de l’activité ou encore la réduction des coûts de personnel, il n’en comporte pas moins des risques, surtout lorsqu’il s’agit de confier une opération de traitement de données à caractère personnel. Vous trouverez un rappel des recommandations et bonnes pratiques à respecter en matière de sous-traitance au regard du droit lié à la protection des données.

En effet, l’opération de sous-traitance, bien qu’elle présente des avantages certains, peut néanmoins engendrer des risques sérieux qu’il convient de prendre en compte. En outre, l’opération de sous-traitance mal gérée peut présenter des risques tels que l’établissement d’une relation de dépendance au sous-traitant, s’illustrer encore par un manque de coordination avec le sous-traitant, être marquée l’absence de partage de savoir-faire ou enfin par le manque d’implication de la part du sous-traitant pour faire évoluer la qualité du produit ou service de l’entreprise. Le donneur d’ordre, responsable de traitement, qui confie une partie de son image à un tiers, doit ainsi être particulièrement vigilant quant aux choix de ses sous-traitants, surtout lorsqu’ils ces derniers sont amenés à traiter des données à caractère personnel.

Au sens de la règlementation applicable aux données personnel, qui recouvre non seulement le RGPD mais aussi plusieurs autres dispositions nationales (loi pour la confiance dans le numérique, code des relations entre le public et l’administration, code de la sécurité sociale etc.), dès lors qu’un tiers accède à des données à caractère personnel, il est considéré comme un sous-traitant. De la sorte, avec la numérisation croissante des entreprises, la plupart d’entre elles ont nécessairement recours aux services de sous-traitants de données à caractère personnel comme des prestataires de service informatique, des intégrateurs de logiciels, des sociétés de sécurité informatique, des entreprises de service du numérique ou encore des agences de marketing ou de communication qui traitent des données à caractère personnel pour le compte de clients.

Compte-tenu du recours toujours plus croissant aux sous-traitants, l’autorité française chargée de faire respecter le droit à la vie privée, la Commission Nationale Informatique et Libertés a formulé six recommandations :

• En premier lieu, la CNIL recommande de déterminer le statut des acteurs impliqués dans l’opération de sous-traitance : elle rappelle en outre qu’est ainsi qualifié de sous-traitant tout organisme qui traite les données à caractère personnel pour le compte du donneur d’ordre, responsable de traitement, mais également lorsque l’organisme fournit une solution « clé en main » lorsqu’il traite effectivement des données personnelles.

• En second lieu, l’autorité rappelle que les donneurs d’ordre, responsables de traitement, et les sous-traitants doivent conclure un contrat faisant figurer certaines mentions obligatoires, listées à l’article 28.3 du RGPD. Cet accord doit permettre non seulement d’organiser les rapports et obligations respectives de chacune des parties, mais aussi d’intégrer l’ensemble des mentions obligatoires en les adaptant à la situation à l’origine de l’opération de sous-traitance.

• En troisième lieu, le responsable de traitement doit s’assurer que son sous-traitant respecte effectivement le RGPD et doit, pour ce faire, prévoir une clause qui prévoit que ce dernier tient à disposition du donneur d’ordre toute information nécessaire pour démontrer le respect des obligations prévues par l’article 28 du RGPD.

• En quatrième lieu, le sous-traitant doit offrir des garanties suffisantes pour répondre aux exigences du RGPD et proposer des solutions et outils respectueux des données à caractère personnel. Ces outils peuvent être, par exemple, des interfaces de recueil de consentement lorsque celui-ci est requis, une interface et un modèle d’information des personnes ou encore un système de purge automatique des données dont la durées dont la durée de conservation est arrivée à son terme. Enfin, puisqu’il assure également un rôle d’assistance et de conseil à l’égard du responsable de traitement, il doit par ailleurs veiller à l’alerter dès qu’il estime qu’une instruction qu’il reçoit constitue, à son sens, une violation de la règlementation applicable en matière de données personnelles.

• En cinquième lieu, le sous-traitant doit aider le donneur d’ordre, responsable de traitement, dans le traitement des demandes d’exercice des droits, et ce conformément à l’article 28.3.e) du RGPD. Cette assistance est d’autant plus essentielle que le sous-traitant est parfois le plus à même d’assurer la mise en œuvre technique des suites apportées aux demandes d’exercice des droits.

• Enfin, en dernier lieu, le donneur d’ordre d’une part, responsable de traitement, doit faire appel à un sous-traitant qui présente des garanties suffisantes en terme sécurité, alors que le sous-traitant, d’autre part, doit quant à lui assurer un niveau de sécurité suffisant au regard de la nature des données collectées pour le responsable de traitement, conformément à l’article 32 du RGPD. Pour s’assurer des garanties suffisantes du sous-traitant, le responsable de traitement pourra exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information ou encore s’assurer des garanties offertes par le sous-traitant en matière de protection des données.

Plusieurs faits sont intervenus dernièrement et rappellent, pour les organismes privés comme publics, l’importance de veiller à choisir des sous-traitants présentant des garanties suffisantes lorsqu'ils envisagent de leur délégué le traitement de données à caractère personnel :

-          En décembre 2022, la société IRobot Roomba a été victime d’un fait particulièrement nuisible à son image, suite a une sous-traitance mal gérée : la société a en effet reconnu que des photos intimes de certaines de ses consommatrices avaient été capturées par les robots aspirateurs Roomba J7, puis diffusées par un sous-traitant sur les réseaux sociaux Facebook et Discord… A la suite d’une enquête menée par le Massachussetts Institute of Technology (MIT), les images provenant de France, d’Allemagne, d’Espagne, des Etats-Unis ou encore du Japon ont été diffusées par des sous-traitants de iRobot basés dans des pays tels que le Venezuela et dont le rôle consistait à étiqueter les données de photos et de vidéos utilisées pour entraîner l’intelligence artificielle du Roomba. Si la société Roomba s’est défendue en rappelant d’une part que les photos capturées par des robots utilisés pour le développement matériel et logiciel, d’autre part que les aspirateurs ont été distribués à des testeurs et employés qui avaient consenti au partage de leurs données avec iRobot, le choc n’en fût pas moins rude pour l’image de la société…

-          Le secteur public n’est pas en reste en matière de fuites de données à caractère personnel : en janvier 2023, la Caisse d’Allocations Familiales (CAF) de Gironde a dû répondre après que 10 204 allocataires aient constaté que leurs données, en principe confidentielles, avaient été mises en ligne. Les informations faisaient notamment état du type d’allocations perçues, du montant, de la composition du foyer ou de l’adresse du locataire… Or, si la CAF s’est défendue en rappelant que les données qu’elle avait fournies au sous-traitant, chargé d’entraîner le personnel au langage de programmation statistique « R », devaient relever d’un usage « strictement interne » et que ce dernier était « soumis au secret professionnel », il n’en demeure pas moins que la CAF ne disposait pas du droit de communiquer ces données sans obtenir, au préalable, le consentement des personnes concernées. Par ailleurs, la CNIL a déjà eu l’occasion de rappeler, à plusieurs reprises, la nécessité de communiquer des jeux de données fictives lorsque ces derniers sont utilisés à des fins d’entraînement et, ou de formation.

L’article 83 du RGPD, relatif aux sanctions administratives prononcées par la CNIL, dispose que les violations des dispositions, contenues notamment à l’article 28 dudit règlement relatives à la sous-traitance, font l’objet d’amendes pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Par ailleurs, avec l’entrée en vigueur de la directive NIS2 dont l’un des aspects est relatif à la sécurité de la chaîne d’approvisionnement (fournisseurs et prestataires), c’est cette fois-ci l’Agence Nationale de Sécurité des Système d’Information (ANSSI) qui pourra, si un sous-traitant ne présente pas des garanties suffisantes concernant la sécurité des données, prononcer des sanctions, dès le second semestre 2024.