L’actualité se fait régulièrement l’écho de nombreux incidents de sécurité impliquant des fuites de données personnelles vers des tiers non autorisés.

Parmi les plus récentes, une fuite de données chez un fournisseur d’équipements de gendarmes impliquant l’accès aux bases de données recensant les commandes passées par les militaires sur le site dédié (nom, date de naissance, lieu de résidence), ou encore chez un prestataire informatique de la société Yves Rocher portant sur les données de 2,5 millions de clients principalement établis au Canada (noms, coordonnées, date de naissance, historique des commandes).

Pour rappel, lorsqu’une société a recours à un prestataire et que cela implique un accès aux données personnelles, elle doit s’assurer que son prestataire présente des garanties suffisantes, notamment en termes de sécurité. Elle doit aussi gérer ses relations avec le prestataire auquel elle confie ses données dans le cadre d’un acte juridique ou d’un contrat (art.28 du RGPD). Il s’agit, pour le responsable de traitement, de ne pas exposer les personnes dont il traite les données à des préjudices tels que l’usurpation d’identité ou la diffusion d’informations sensibles ou confidentielles.

Au-delà des engagements du prestataire, ce contrat permet d’organiser les rôles respectifs des parties et de documenter avec précision l’objet, la durée, la nature et la finalité des opérations de traitement réalisées pour le compte du client.

Ce point est crucial en matière de responsabilité en ce que l’article 82§2 du RGPD prévoit qu’« un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le règlement qui incombent spécifiquement aux sous-traitants  ou qu’il a agi en-dehors des instructions licites du responsables du traitement ou contrairement à celles-ci ».

En cas d’incident de sécurité, c’est souvent le sous-traitant qui identifiera en premier lieu le « data breach » dont il est tenu d’informer son client « dans les meilleurs délais après en avoir pris connaissance ». Cette célérité permettra au responsable de traitement, lui-même tenu de notifier à la CNIL dans les 72 heures après en avoir eu connaissance, de mettre en place au plus vite les mesures correctives appropriées.

Au regard de ces obligations légales et des risques encourus, il est important que le responsable de traitement s’assure réellement, lors de la phase précontractuelle, des garanties que présente son prestataire notamment en matière de sécurité, puis, en cours d’exécution du contrat, du maintien de toutes ces garanties et de leurs mises en œuvre concrète, le tout devant être documenté avec soin. Il doit « garder la main » quant au respect par son prestataire des engagements de performance en matière de sécurité informatique et des garanties organisationnelles qui en découlent.

Indépendamment d’éventuelles sanctions administratives, parfois importantes, comme le rappellent de récentes délibérations de la CNIL, des actions en responsabilité pourraient être engagées.

Il ne vous reste plus qu’à mettre en place une politique contractuelle et un process de contractualisation en phase avec ces nouvelles exigences !

 

Claudia WEBER, avocat fondateur et Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

Nous contacter