3

L’extension du régime de responsabilité aux sous-traitants

< Rapport d'information de la commission des affaires européennes >

Le règlement introduit une responsabilité conjointe entre le responsable de traitement et le sous-traitant. Cette nouvelle notion est l’une des dispositions qui permet au règlement de viser l’ensemble des acteurs de l’économie numérique. À l’heure du cloud computing, la plupart des entreprises externalisent tout ou partie de leurs données. Les données personnelles ne seront donc bien protégées que si toute la chaîne de sous-traitance est responsabilisée.

La responsabilité qui incombe aux sous-traitants nécessite que le responsable du traitement soit, par défaut, sûr du sous-traitant avec lequel il traite, et en particulier, qu’il présente les « garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement (28) ». Les relations sont régies par un contrat qui doit notamment, selon le règlement, définir « l'objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée (29). » Les modalités contractuelles, si elles peuvent s’appuyer sur des modèles-types de la Commission européenne ou des autorités de contrôle, demeurent relativement souples mais sont essentielles à la définition claire des partages de responsabilités et donc par conséquent aux risques financiers encourus par les parties en cas de sanction.

La formulation retenue dans le projet de loi vise à distinguer les obligations s’appliquant aux sous-traitants en vertu du RGPD de celles qui leur incombent à raison de la directive (UE) 2016/680, transposée à l’article 19 du projet de loi. Ainsi, selon son article 10, les sous-traitants exerçant des activités prévues dans le cadre de l’article 35 de la loi actuelle doivent respecter l’ensemble des dispositions les concernant contenues dans le chapitre IV du règlement.

Dès lors, les traitements qui ne relèvent ni du règlement, ni de la directive, dépendent toujours de l’article 38 de la loi n° 78-17. Votre rapporteure estime que, dans la mesure où l’ensemble des activités des sous-traitants, sauf les fichiers dits « de souveraineté », soit les traitements mis en œuvre par l’État au titre de ses prérogatives de puissance publique, est compris dans le champ d’application du RGPD, elle prend acte de cette répartition. Le principe de coresponsabilité entre le responsable de traitement et le sous-traitant, applicable aux fichiers d’identité numérique, par exemple, constitue néanmoins l’un des progrès les plus importants institués par le règlement , en ceci qu’il permet d’adapter le régime de responsabilité aux nombreux transferts et traitements que divers acteurs font subir aux mêmes données personnelles, y compris dans le cadre de l’action de l’État.

< Rapport d'information de la commission des affaires européennes >