>
La récente décision de la CNIL (27/01/2021) a élargi cette responsabilité aux sous-traitants de l’entreprise.
La vigilance est donc de mise dans les… contrats d’hébergement, de traitement, de transfert…
Les responsabilités
L’entreprise collecte des Données à Caractère Personnel (DCP) de nombreuses personnes liées à son environnement :
- Ses prospects et clients,
- Les candidats à l’emploi, ses salariés et ex-salariés,
- Ses fournisseurs, partenaires, prestataires…
En collectant ces données, elle en devient le « Responsable de Traitement » (RT).
Cela induit de très grandes responsabilités vis-à-vis de Personnes dont les DCP ont été collectées, surtout si ces DCP sont sensibles ou si elles peuvent être croisées pour obtenir de nouvelles Datas à forte valeur ajoutée.
Les Personnes avaient des droits ; naguère encadrés par la Loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, plus connue sous le nom de Loi informatique et libertés.
Puis, modernité et européanité obligent, ces droits ont été confortés, élargis, étendus et approfondis par le RGPD 2016/679 du Parlement européen et du Conseil du 27 avril 2016, Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (lequel abrogeait la directive 95/46/CE, règlement général sur la protection des données).
Les droits des personnes ayant été étendus sur leurs DCP, les responsabilités des entreprises sur ces mêmes DCP qu’elles collectent sur les Personnes ont crû, dans une même et très large mesure.
Les entreprises collectrices sont devenues les garantes de la sécurité des données qu’elles collectent.
Qui dit « garantie », dit « responsabilité » mais dit aussi « versement de dommages et intérêts en cas de faute ou négligence ayant entraîné des dommages aux DCP ».
Or, les préjudices/violations aux DCP sont expressément cités dans le RGPD, voici ce qu’écrit la Cnil à leur sujet :
Qu’est-ce qu’une violation de données[1] ?
L’article 4.12) du RGPD définit une violation de données à caractère personnel comme
- Une violation de sécurité des DCP entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.- Tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.
Quelques exemples :
- La suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs ;- La perte d’une clef USB non sécurisée contenant une copie de la base clients d’une société ;
- L’introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves.
Responsabilité retenue, même quand le RT est hacké ?
L’entreprise collectrice de DCP, en sa qualité de « Responsable de Traitement » au sens du RGPD, est responsable de toute atteinte aux DCP qu’elle collecte, même si elle est hackée.
Dans cette fâcheuse circonstance, dans laquelle elle serait encline à se considérer a priori comme victime en première ligne, sa responsabilité sera le plus souvent questionnée ; au pire par une Action de groupe déposée par une association représentant des collectifs de victimes.
Dans ce cas, la meilleure des réponses qu’elle pourra apporter à ses contradicteurs sera l’ensemble des informations et explications relatives aux moyens qu’elle avait mis en place en vue de garantir la sécurité des données qu’elle avait collectées et dont elle assurait le traitement.
S’agissant d’une obligation de moyens, selon les tenants et les aboutissants de la situation, le niveau de connaissances techniques à l’heure de la prise de décision relative à la gestion des risques liés au DCP, les risques encourus, la criticité des données, leur caractère sensible (article 9 RGPD) …la responsabilité de l’entreprise de s’être faite hacker et conséquemment d’avoir « violé » des données au sens du RGPD, sera ou non maintenue.
Une société, même hackée, devrait en permanence être en mesure de prouver et de documenter la manière dont une décision importante vis-à-vis des traitement, hébergement ou transfert de DCP a été prise. Elle doit être en situation de prouver qu’elle avait engagé des moyens au moins équivalents aux risques encourus par les DCP et les Personnes auxquelles elles se rapportent.
Elle doit également s’assurer que ses propres sous-traitants (ST), sociétés indépendantes qui agissent selon ses instructions précises, sont dans la mesure de prouver l’ensemble de ces moyens et processus décisionnels.
Dans les contrats où la sous-traitance de traitement de DCP intervient, le donneur d’ordre (Responsable de Traitement) aura tout intérêt à prendre toutes les garanties nécessaires, quitte à détailler les « moyens » que le sous-traitant devra mettre en œuvre pour traiter les DCP collectées par le Responsable de Traitement.
Bref :
- Ouvrez l’œil et le bon sur vos contrats de sous-traitance de traitements des DCP, documentez vos décisions, cela vous permettra de répondre aux questionnements de la Cnil le moment venu ;- Documentez également le niveau des connaissances techniques au moment où vous prenez d’importantes décisions, cela vous permettra de prouver que vous avez rempli vos « obligations de moyens » qui pèsent sur votre entreprise ;
- Recherchez de hébergeurs de données dans l’Union européenne ;
- Faites héberger les DCP que vous collectez et traitez dans des Data Centers certifiés, surtout pour les données légalement très encadrées et réglementées comme les DCP sensibles ;
- Vérifiez également que vos sous-traitants remplissent de leur côté toutes ces diligences.
C’est le RT (vous, votre entreprise collectrice) qui doit in fine décider des mesures de sécurité à mettre en place pour lutter contre les attaques puis transmettre ses instructions à son sous-traitant.
Toutefois ce tout dernier point se doit d’être nuancé désormais.
En effet, le 27/01/2021, et pour la première fois, la CNIL a considéré qu’il appartenait également au sous-traitant de rechercher les solutions techniques et organisationnelles « les plus appropriées » pour assurer la sécurité des données aux fins de les proposer au responsable de traitement.
Elle a ainsi sanctionné le RT, mais également le ST, pour « insuffisance des mesures de sécurité mises en place pour l’encadrement de traitements de données à caractère personnel. ».
C’est un revirement dont nous nous réjouissons.
Cette décision, qui est la première du genre, clarifie la chaîne des responsabilités.
Dans une certaine mesure, elle nous rappelle naturellement (ou nous ramène ?) aux bons souvenirs des obligations de Conseil et d’Information.
L'obligation de conseil se distingue de l'obligation d'information et de mise en garde.
Plus qu'une indication, le conseil implique une incitation, une recommandation, une orientation de choix, une préconisation de la solution la plus adaptée aux besoins exprimés par le client.
Information ? Conseil ? Nous suivrons attentivement ce que nous dira la Doctrine.
En matière d’obligation de moyens, tout serait certes beaucoup plus facile s’il existait à notre disposition des « standards acceptables de moyens », des seuils à ne pas franchir, des barrières à ne pas dépasser, des limites encadrantes tout autant rassurantes… mais, il n’en est rien !
Il y aura donc lieu de raisonner au cas par cas, en fonction de la criticité des données et du nombre de personnes concernées.
Article de la CNIL
[1] Les obligations des Responsables du Traitement (RT) concernant les violations de données personnelles, et notamment leur notification à la CNIL et aux personnes concernées, sont définies aux articles 33 et 34 du RGPD.