Conservation et sécurité des données : Qui est responsable ?

I. EVOLUTION

 

Le RGPD a 4 ans.

 

Au début de son entrée en vigueur tous les praticiens se sont concentrés sur les limites visibles de la collecte et conservation des données personnelles: l’individu face aux états, l’individu dans l’entreprise et dans la société civile, l’individu face aux grands groupes.

 

L’article 6 règlemente la licéité du traitement et décrit les causes légitimes et nécessaires, la loyauté due à la personne dont les données ont été collectées et le travail du responsable du traitement des données pour que celles-ci ne soient pas dispersées à des fins autres que l’objet de collecte et éviter les risques de dispersion.

 

L’article 88 offre aux états membres la liberté, donc le pouvoir effectif de prendre des mesures plus spécifiques, par la loi, les conventions collectives, (les règlements intérieurs des entreprises pourquoi pas) de protection pour assurer les droits et libertés et protéger la dignité humaine dans le cadre des relations de travail

 

 

II. LA MISSION  DU  RESPONSABLE DE TRAITEMENT

 

Désormais le sous- traitant du sous- traitant  du sous- traitant est dans le viseur à travers les défaillances du responsable du traitement et son encadrement contractuel d’engagement ( Articles 28-29 et suivants)

 

Non pas que la CNIL ait changé de cible, mais bien au contraire parce que le réglage de sa focale est devenu si fin  qu’elle accède à chaque détail et développe un contrôle précis dans une profondeur de champs qui ne cesse de s’étendre sur une base légale posée il y a 4 ans

 

Article 24 du RGPD - Responsabilité du responsable du traitement

1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.
2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou de mécanismes de certification approuvés comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des obligations incombant au responsable du traitement.

 

 

III. LE RECOURS A LA SOUS TRAITANCE RESTE LEGITIME

 

La CNIL contrôle la matérialité et sanctionne les défaillances de délégations en sous délégation du traitement des données et de leur stockage comme résultant de la responsabilité unique et conjointe du responsable du traitement.

 

Le sous traitant  n’est pas un subalterne. A l’origine le choix d’un sous –traitant pour une compétence spéciale en fait un «  expert » il est donc soumis aux mêmes contraintes.

 

Pour illustration prenons l’exemple du  mandat de syndic de copropriété  d’une enseigne nationale qui compte 1000 à 30000 résidences sur le territoire national, chacune comptant entre 10 copropriétaires à 5000 copropriétaires pour les plus importantes

 

Le courrier de convocation à assemblée comme le courrier de notification des procès verbaux d’assemblée peut être sous traité tout d’abord pour faire des économies d’échelle et ensuite pour que la tache elle-même soit confiée à des spécialistes du courrier.

 

La situation devient paradoxale.

 

Sur le plan des offres  techniques, le marché propose des outils logiciels les plus complexes, aptes à collecter un nombre infini d’informations, pour répondre aux besoins des entreprises et  maintenir leurs degrés de performance, de réactivité et de production.

 

Chaque entreprise recherche des solutions d’optimisations : couplage de logiciel de gestion puissant à des fonctionnalités avancées comme la mobilité ou un portail collaboratif. Du traitement de la paie aux télé-déclarations, les entreprises transmettent et collaborent à l’accroissement des masses de données détenues par les  services publics collecteurs de données qui

 

Comment ignorer  un outil central qui gère tous les flux de l’entreprise et qui offre la possibilité de s’interfacer avec de nombreuses applications tierces.

 

Le recours à la sous - traitance est une nécessité sociale, économique et technique. Le recours à du matériel performant l’est autant.

 

La sécurité informatique est identifiée  à travers trois paramètres : confidentialité, intégrité et disponibilité.

 

Au sens de l’article Article 28 le  Sous-traitant doit satisfaire des critères de compétence et d’efficacité :

 

1. Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée

 

 

 

 

IV ENTRE EXPERTS  TOUS LES MAILLONS DE LA CHAINE SONT IMPLIQUES

 

La sanction de la CNIL prononcée le 15 avril 2022 à l’encontre de la société DEDALUS Biologies et  DEDALUS France  Délibération SAN-2022-009 du 15 avril 2022 publiée sur  Légifrance : Jeudi 21 avril 2022  illustre particulièrement bien le chainage des responsabilités.

 

Chaque paragraphe de cette sanction justifierait un long exposé. Les paragraphes 33 et 34  ont été choisis comme illustration du  statut autonome de chaque acteur du traitement des données quoique le responsable du traitement reste primordial.

 

  «    33. Le rapporteur considère qu’il ressort des éléments transmis par la société DEDALUS BIOLOGIE que les différents documents encadrant les relations contractuelles entre la société sous-traitante et les laboratoires ne comportent pas les mentions requises par l’article 28 du RGPD. Il relève que les conditions générales de vente proposées par DEDALUS BIOLOGIE au moment où les laboratoires acceptent sa prestation ne comportent aucune des mentions requises par cet article. « 

« De même, il note que les mentions requises ne figurent pas non plus dans les contrats de maintenance conclus entre la société et les laboratoires, tels que transmis à la CNIL. »

 

En substance il aurait dû être mentionné sur leur contrat que le sous traitant   se voit interdit de traiter ces données qui lui sont confiées, excepté sur instruction du responsable du traitement, et sur un objet licite et  à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre (imaginons une commission rogatoire sous contrôle du juge d’instruction ; Interpol etc..)

 

34. En défense, si la société ne conteste pas la matérialité du manquement à l’article 28 du RGPD, elle précise que la conclusion d’un contrat de sous-traitance constitue une obligation tant pour le responsable de traitement que pour le sous-traitant. Elle en conclut que la société DEDALUS BIOLOGIE ne saurait être tenue seule responsable de ce manquement. Elle insiste en outre sur les efforts mis en œuvre pour se conformer au RGPD dès 2018 et indique que de nouveaux modèles de contrat de sous-traitance respectant les exigences de l’article 28 sont en cours de déploiement.

 

En substance la CNIL répond qu’il n’y a pas dilution de la responsabilité du responsable du traitement sous prétexte qu’il y aurait pluralité de sous- traitants et sous- traitance en cascade.

 

 

V. PROPOSITION D’UN TEXTE  CONTRACTUEL  CONTRAIGNANT

 

Dans  les contrats de la délégation 1 à la subdélégation finale pourraient  au moins figurer  les termes suivants :

 

« La société A est désignée responsable de traitement  de données collectée dont elle confie la mission de (descriptif période volume) à la société B …

 

« La société B est désignée sous traitant de A pour les données suivantes (objet, énumération et période). »

« La société A fait défense à la société B d’utiliser à des fins personnelles, pour compte de tiers, prospectives et ou commerciales, rémunérée ou non rémunérées,  les données qui lui sont confiées pour la tâche spécifique  et exclusive de ( description durée )  au cours et au-delà de la période contractuelle. »

 

«  En cas de survenance de dommage du fait de la violation du Règlement la responsabilité de la société B pourra être  engagée  par tout tiers lésé et également  par  la société A. à défaut d’avoir satisfait aux conditions ci- dessous»

 

« La présente convention ne pourra prendre effet que sur production de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42;et pourra être suspendue trimestriellement voire résiliée sous préavis réduit  à défaut de présentation trimestrielle des conditions d’archivage et de destruction d’archives des données confiée. « 

 

« Les périodes de suspension ne déchargent pas la société B  de l’obligation de mettre en oeuvre toute mesure  de sécurisation des données confiées reconnue comme nécessaire et adaptée pour assurer la sécurité informatique (confidentialité, intégrité et disponibilité) des données confiées  par la société A à laquelle la société B soumettra au préalable la méthode ou les méthodes retenues avec leurs  modalités précises et détaillées »

 

Ces 6 paragraphes au  texte entre guillemets sont  ma proposition, vous pouvez la compléter dans vos contrats.

 

Ne peuvent être exonérés de responsabilité que les intervenants justifiant avoir anticipé et pris des mesures de protection et contrôlé leur efficacité, après en avoir rendu compte et été approuvés.

 

En bref le responsable de traitement est responsable de ses exécutants et de leurs exécutants sauf s’il prouve que le dommage ne lui est absolument pas imputable (Article 82, § 2  et 82, §4 du RGPD).

 

 

CONCLUSION

 

Toute création est nouvelle et présente des contours flous jusqu’à ce que nous l’appréhendions et que par analogie nous la rattachions à des éléments connus, pour en reconnaitre les caractères originaux et les caractères communs à d’autres créations humaines antérieures.  Par voie de conséquence nous devons protéger ce qui nous caractérise : ce qui nous différencie comme ce qui nous unit.

 

La théorie de la responsabilité s’est construite au fil des siècles à travers les communautés  sociales les plus diverses. Il n’y avait aucune raison que nos données personnelles collectées y échappent.

 

Déjà en 2007 au Journaliste de Futura Science https://www.futura-sciences.com/tech/actualites/informatique-jacques-stern-cryptologie-fait-partie-notre-vie-quotidienne-13954/    Jacques STERN indiquait :

 

Jacques Stern : Nous vivons dans un monde virtuel. De nombreuses informations concernant notre vie privée, voire notre santé, sont inscrites quelque part bien qu'elles ne doivent pas être publiques. La cryptologie fait désormais partie de notre vie quotidienne. Elle est utilisée dans notre carte bancaire et dans notre téléphone portable, par exemple. En fait, on pourrait dire que l'intérêt de la cryptologie a commencé à exister avec l'invention de l'écriture, qui conduit à ne plus garder sur nous des informations qui viennent de nous-mêmes.

 

 

Marseille le 16 mai 2022

 

Laure TRAPÉ