L’essentiel : Les contrats de sous-traitance de données personnelles doivent aller au-delà des dispositions du RGPD en incluant des détails spécifiques sur le respect des obligations et le niveau de sécurité requis. Dans l’affaire Cityscoot, la CNIL a relevé des lacunes dans plusieurs contrats, notamment l’absence de procédures de suppression des données et de mentions précises sur les obligations de sécurité. Les contrats doivent clairement stipuler que le sous-traitant doit fournir les informations nécessaires pour les audits et décrire les mesures techniques et organisationnelles mises en place pour garantir la sécurité des données traitées.

Les contrats de sous-traitance de données personnelles ne peuvent se contenter de reproduire les dispositions du RGPD ; il doivent également inclure des informations plus spécifiques et concrètes sur la manière dont les conditions du respect du RGDP seront remplies et sur le niveau de sécurité requis pour le traitement de données à caractère personnel qui fait l’objet dudit accord de sous-traitance.

Permettre la réalisation d’audits

Dans l’affaire Cityscoot, la CNIL a pu constater que la société a fait appel à quinze sous-traitants ayant un accès ou hébergeant des données à caractère personnel. Sur ces quinze contrats, plusieurs contrats ne contenaient pas toutes les mentions prévues par le RGPD.

Les contrats ne prévoyaient que de manière générale les obligations de sécurité qui incombent au sous-traitant et ils n’évoquaient pas l’obligation du sous-traitant de mettre à disposition du responsable de traitement toutes les informations pour démontrer le respect des obligations prévues, permettre la réalisation d’audits et contribuer à ces audits.

Procédure de suppression ou de renvoi des données à caractère personnel

L’un des contrats ne prévoyait pas non plus de procédure de suppression ou de renvoi des données à caractère personnel du sous-traitant au responsable de traitement à échéance du contrat. Très lacunaire, ce contrat ne prévoyait ni l’objet du traitement, ni sa durée. Enfin, le contrat ne visait pas la catégorie de personnes concernées par le traitement.

La politique de durée de conservation des données et le sort des données à l’échéance du contrat font l’objet de deux mentions différentes par l’article 28, paragraphe 3 du RGPD. L’article 28, paragraphe 3, (g) prévoit que le contrat doit indiquer que le sous-traitant  » selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes « . Dès lors, cette mention doit donc être visée spécifiquement et séparément dans le contrat.

Pour rappel, dans ses lignes directrices 07/2020 du 7 juillet 2021 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, le CEPD affirme que  » tandis que les éléments visés à l’article 28 du règlement constituent le contenu essentiel du contrat, ce dernier devrait permettre au responsable du traitement et au sous-traitant de clarifier davantage la manière dont ces éléments essentiels seront mis en œuvre en recourant à des instructions détaillées.

Par conséquent, l’accord de traitement ne doit pas se contenter de reproduire les dispositions du RGPD ; il doit inclure des informations plus spécifiques et concrètes sur la manière dont les conditions seront remplies et sur le niveau de sécurité requis pour le traitement de données à caractère personnel qui fait l’objet dudit accord  » (§ 112).

Partant, les mentions visées à l’article 28, paragraphe 3 doivent non seulement figurer dans le contrat de sous-traitance, mais elles doivent également être suffisamment précises et détaillées pour permettre d’assurer un traitement conforme des données à caractère personnel.

La clause «accountability»

Concernant la clause  » accountability «, si le contrat prévoit effectivement que le sous-traitant doit répondre aux questions du responsable de traitement et lui fournir, sur demande, tout document sollicité, il doit être indiqué expressément que le sous-traitant doit tenir à sa disposition toutes les informations pour permettre la réalisation d’audits et contribuer à ces audits.

La clause «security»

La clause  » security « , qui prévoit que le sous-traitant met en place des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque, doit être assez précise. A titre d’illustration, dans ses lignes directrices 07/2020, le CEPD affirme que  » l’accord devrait éviter de se contenter de répéter ces obligations d’assistance et devrait contenir des précisions sur la manière dont le sous-traitant est invité à aider le responsable du traitement à remplir les obligations énumérées.

Par exemple, des procédures et des formulaires types peuvent être joints en annexes à l’accord pour permettre au sous-traitant de fournir au responsable du traitement toutes les informations nécessaires […] le sous-traitant est d’abord tenu d’aider le responsable du traitement à respecter l’obligation d’adopter des mesures techniques et organisationnelles appropriées afin de garantir la sécurité du traitement.

Bien que cela puisse, dans une certaine mesure, empiéter sur l’exigence selon laquelle le sous-traitant adopte lui-même des mesures de sécurité appropriées, lorsque les opérations de traitement du sous-traitant relèvent du champ d’application du RGPD, ces deux obligations demeurent distinctes, l’une se référant aux mesures propres au sous-traitant et l’autre à celles du responsable du traitement « .

Or, seuls les objectifs de sécurité à atteindre étaient décrits, sans précision sur les moyens d’y parvenir, tels qu’une description des processus ou mécanismes développés dans des annexes au contrat.

En l’absence de précision sur les moyens pour remplir l’obligation de mettre en place des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque, la CNIL a considéré que le contrat ne répondait pas aux exigences du RGPD.

Téléchargez cette décision

Consultez et Téléchargez la décision à l’origine de ce point juridique

Q/R juridiques soulevées :

Pourquoi les contrats de sous-traitance de données personnelles doivent-ils être plus détaillés que le RGPD ?

Les contrats de sous-traitance de données personnelles ne peuvent se limiter à reproduire les dispositions du RGPD. Ils doivent inclure des informations spécifiques sur la manière dont les conditions de respect du RGPD seront mises en œuvre. Cela inclut des détails sur le niveau de sécurité requis pour le traitement des données à caractère personnel. En effet, le RGPD exige que les contrats soient suffisamment précis pour garantir un traitement conforme des données, ce qui implique des obligations claires pour le sous-traitant. Il est essentiel que ces contrats définissent les responsabilités et les mesures de sécurité à adopter, afin de protéger les données personnelles et de respecter les droits des personnes concernées.

Quelles obligations doivent être incluses dans les contrats de sous-traitance concernant les audits ?

Les contrats de sous-traitance doivent prévoir que le sous-traitant doit fournir toutes les informations nécessaires pour permettre la réalisation d’audits. Cela inclut l’obligation de contribuer activement à ces audits, ce qui n’était pas le cas dans plusieurs contrats examinés par la CNIL dans l’affaire Cityscoot. Les contrats doivent donc spécifier que le sous-traitant doit être en mesure de démontrer son respect des obligations prévues par le RGPD. Cela garantit que le responsable du traitement peut vérifier la conformité et la sécurité des opérations de traitement effectuées par le sous-traitant. En résumé, les contrats doivent inclure des clauses claires sur la coopération du sous-traitant lors des audits pour assurer la transparence et la responsabilité.

Quelles sont les exigences relatives à la suppression ou au renvoi des données à caractère personnel ?

Les contrats de sous-traitance doivent inclure une procédure claire pour la suppression ou le renvoi des données à caractère personnel à l’issue du contrat. Selon l’article 28, paragraphe 3, du RGPD, le contrat doit stipuler que le sous-traitant doit, selon le choix du responsable du traitement, soit supprimer toutes les données, soit les renvoyer. Il est également crucial que le contrat précise l’objet du traitement, sa durée, et les catégories de personnes concernées. Ces éléments sont essentiels pour garantir que les données sont traitées de manière conforme et sécurisée. En l’absence de ces précisions, comme observé dans certains contrats, la CNIL a jugé que les exigences du RGPD n’étaient pas respectées, ce qui peut entraîner des sanctions.

Qu’est-ce que la clause « accountability » et quelles sont ses implications ?

La clause « accountability » impose au sous-traitant de répondre aux questions du responsable de traitement et de fournir, sur demande, tous les documents nécessaires. Cette clause doit également stipuler que le sous-traitant doit tenir à disposition toutes les informations pour permettre la réalisation d’audits. Cela signifie que le sous-traitant a une obligation de transparence et de coopération, ce qui est fondamental pour assurer la conformité avec le RGPD. En intégrant cette clause, les contrats renforcent la responsabilité du sous-traitant et garantissent que le responsable de traitement peut exercer ses droits de vérification et de contrôle.

Comment la clause « security » doit-elle être formulée dans les contrats ?

La clause « security » doit stipuler que le sous-traitant met en place des mesures techniques et organisationnelles adaptées au risque. Cette clause doit être suffisamment précise pour éviter de se contenter de déclarations vagues sur les obligations de sécurité. Le CEPD recommande que l’accord inclue des précisions sur la manière dont le sous-traitant doit aider le responsable de traitement à respecter ses obligations. Cela peut inclure des procédures et des formulaires types annexés au contrat. Il est important que les objectifs de sécurité soient clairement définis, mais aussi que les moyens pour y parvenir soient spécifiés. En l’absence de ces précisions, la CNIL a considéré que le contrat ne répondait pas aux exigences du RGPD.

Où peut-on consulter la décision de la CNIL concernant Cityscoot ?

Vous pouvez consulter et télécharger la décision de la CNIL concernant Cityscoot en suivant ce lien : Téléchargez cette décision. Cette décision est importante pour comprendre les implications des contrats de sous-traitance en matière de protection des données personnelles et les exigences spécifiques du RGPD. Elle illustre également les conséquences potentielles d’un non-respect des obligations contractuelles.