Articles 11 et 22 (Sous-traitant)

< Délibération CNIL >

L’article 11 du projet de loi vise à compléter l’article 35 de la loi actuelle en indiquant que le sous-traitant respecte les dispositions prévues par le chapitre IV du Règlement, tandis que l’article 70-7 nouveau inséré dans la loi en vigueur par l’article 22 du projet de loi vise à transposer, sur ce même point, les dispositions de la Directive.

- S’agissant de la modification projetée de l’article 35 de la loi, si le renvoi auquel procède l’article 11 a le mérite de préciser clairement le régime applicable dans le champ du Règlement, la portée du reste de l’article, non modifié, est ambiguë. La Commission renvoie à ses observations générales sur cette problématique plus globale : les autres dispositions n’ont en réalité vocation à s’appliquer qu’aux traitements situés en dehors du champ tant du Règlement que de la Directive, sans que cette vocation soit clairement précisée. Cette ambiguïté devrait être levée.

- S’agissant de l’article 70-7 nouveau de la loi Informatique et Libertés , qui a pour objet de transposer les dispositions des articles 22 et 23 de la Directive relatifs aux conditions dans lesquelles les responsables de traitement peuvent recourir aux services d’un sous-traitant, la Commission émet deux observations.

S’agissant de la forme, soucieuse de veiller à une bonne intelligibilité du texte et à la bonne compréhension de ces dispositions par les personnes concernées, la Commission est favorable à distinguer clairement les obligations relevant du Règlement de celles relevant de la Directive aux fins d’une meilleure sécurité juridique. D’une manière générale, il serait préférable de reprendre, pour l’ensemble des traitements en dehors champ du Règlement, la rédaction de l’article 22 de la Directive et de ne pas faire subsister les dispositions actuelles de l’article 35 de la loi de 1978.

S’agissant du fond, la Commission relève que la transposition de l’article 22 de la Directive est globalement satisfaisante. Néanmoins, il conviendrait d’ajouter une référence aux garanties suffisantes que les sous-traitants doivent présenter quant à la mise en œuvre de mesures organisationnelles appropriées, et non seulement de mesures techniques (article 22.1 de la Directive). De même, elle rappelle que le droit national, qui pourra être complété sur certains de ces points par voie réglementaire, dont il conviendrait de prévoir l’intervention dans le présent projet de loi, devrait prévoir la forme écrite du contrat, qui peut se présenter sous la forme électronique, et reprendre toutes les précisions de l’article 22.3 de la Directive sur le contenu obligatoire du contrat s’agissant, d’une part, des mentions relatives aux paramètres du traitement (objet, durée, nature, finalité, types de données, catégories de personnes, droits et obligations du responsable) et, d’autre part, des mentions exigées par les dispositions du c), du e) et du f) de ce même article 22.3.

< Délibération CNIL >