Sanction | DEDALUS BIOLOGIE
Dans une décision rendue publique le 21 avril 2022, la formation restreinte de la CNIL (Commission Nationale de l’Informatique et Libertés) a sanctionné la société DEDALUS BIOLOGIE d’une amende de 1,5 million d’euros pour un défaut de sécurité entraînant une fuite importante de données médicales (souvenez-vous, nous vous parlions de cette affaire dans cet article).
Aujourd’hui nous ne nous intéressons pas à la violation en tant que telle. A l’époque, les médias ont suffisamment relayé les faits. Si vous êtes curieux des manquements à l’obligation d’assurer la sécurité des donnés de la part de DEDALUS BIOLOGIE, nous vous invitons à prendre connaissance de la délibération de la CNIL disponible ici.
Cette affaire nous intéresse tout particulièrement aujourd’hui, car pour une fois, la CNIL est venue sanctionner un sous-traitant.
Pour rappel, un sous-traitant au sens des articles 4 et 28 du RGPD (Règlement Général sur la Protection des Données), est un acteur (personne physique ou morale, privée ou publique) mettant en œuvre un traitement de données à caractère personnel pour le compte d’un ou plusieurs responsables de traitement. Il s’agit donc généralement de prestataires de services qui vont participer aux activités d’un responsable du traitement en assurant par exemple l’hébergement de données, la maintenance d’outils, de logiciels, etc.
Dans sa délibération, la CNIL a affirmé que la société DEDALUS était effectivement un sous-traitant dans la mesure où cette dernière met à disposition de ses clients des outils pour faciliter la mise en œuvre de leurs traitements et agit en leurs noms et sous leurs responsabilités pour la maintenance de ces outils.
En plus du manquement relatif aux obligations de sécurité, la formation restreinte de la CNIL a évalué deux autres manquements :
- Le manquement à l’obligation pour le sous-traitant de ne traiter les données à caractère personnel que sur instruction du responsable de traitement ; et,
- Le manquement à l’obligation d’encadrer par un acte juridique formalisé, les traitements effectués pour le compte du responsable de traitement point sur lequel nous souhaitons nous arrête.
Sur le premier manquement, il a été mis en avant « que les différents documents encadrant les relations contractuelles entre la société sous-traitante et les laboratoires ne comportent pas les mentions requises par l’article 28 du RGPD ». En effet, dans les CGV fournies par le sous-traitant à ses clients, aucune mention des obligations du RGPD n’est faite.
La question soulevée est alors de savoir qui est responsable de ce manquement ? S’agit-il du sous-traitant ou du responsable du traitement ? La réponse de la CNIL est intéressante.
Comme le soulève DEDALUS en défense : il s’agit d’une obligation partagée. Le sous-traitant comme le responsable du traitement peuvent prévoir de la remplir en proposant son propre avenant RGPD. Sur ce point, la formation restreinte est d’accord « l’obligation résultant de l’article 28, paragraphe 3, du RGPD incombe tant au responsable de traitement qu’au sous-traitant est sans incidence sur l’existence d’une responsabilité propre du sous-traitant ».
Cependant, c’est la société DEDALUS qui fournit ses propres CGV (Conditions Générales de Vente) à tous ses clients et ces CGV font office d’encadrement contractuel. Lors de ses contrôles, la CNIL a d’ailleurs pu observer dans certains contrats récents (2019) quelques mentions relatives à la protection des données mais insuffisantes au regard du RGPD, voire, faisant référence à des dispositions obsolètes de la loi Informatique et Libertés. En outre, la société a insisté sur les efforts mis en œuvre pour se conformer au RGPD via de nouveaux modèles de contrat conformes aux exigences de l’article 28… manque de chance, lors des contrôles de la CNIL, le déploiement de ces nouveaux contrats était loin d’être terminé.
La formation restreinte décide donc de sanctionner la société sur ce manquement. Ce choix met en lumière un élément crucial (que nous rappelons sans cesse en formation !)
Oui, l’obligation de prévoir un accord est bien une obligation partagée mais cela ne veut pas dire qu’il faut attendre que l’autre partie se décide de proposer son propre modèle…
- Sous-traitants : soyez prudents ! Vous êtes à l’origine de vos prestations et c’est bien vous qui avez la main sur vos CGV. N’attendez plus que vos clients réclament votre conformité pour proposer d’office vos modèles. Avenantez l’existant, et prévoyez désormais des annexes ou des clauses conformes RGPD.
N’oubliez pas que la CNIL vous aide ! Un modèle de clause de sous-traitant a été mis à votre disposition dans le Guide du sous-traitant de la CNIL, ainsi qu’un modèle de clauses contractuelles types de la Commission européenne.
- Responsables du traitement : N’attendez pas non plus que vos prestataires engagent des démarches de conformité envers vous ! C’est aussi la conformité de vos activités qui est en jeu. Alors n’hésitez plus à proposer vos propres modèles d’engagement pour vos prestataires.
Nos recommandations pour vous : lorsque vous cartographiez vos activités :
- Lister les différents acteurs traitant des données pour votre compte et identifiez ce qu’ils font pour vous,
- Récupérez les contrats et contrôler leurs contenus : disposent-ils d’une clause RGPD ? d’un avenant ? d’une annexe ? Et si ce n’est pas le cas, rapprochez-vous de ces acteurs et demandez la mise à jour des contrats existants !
Et surtout : n’attendez plus !