Le 7 octobre, le Comité européen de protection des données (CEPD) a publié un avis renforçant la responsabilité du responsable de traitement à l’égard des sous-traitants. Le CEPD introduit des exigences plus strictes en matière de transparence et de suivi.
Selon cet avis, “les responsables du traitement doivent disposer à tout moment des informations sur l’identité (c’est-à-dire le nom, l’adresse, la personne de contact) de tous les sous-traitants, sous-traitants ultérieurs, etc., afin de pouvoir s’acquitter au mieux de leurs obligations en vertu de l’article 28 du RGPD. En outre, l’obligation du responsable du traitement de vérifier si les sous-traitants (ultérieurs) présentent des « garanties suffisantes » devrait s’appliquer quel que soit le risque pour les droits et libertés des personnes concernées, bien que l’étendue de cette vérification puisse varier, notamment en fonction des risques associés au traitement“.
Le CEPD insiste également sur le fait que la vérification des garanties suffisantes offertes par les sous-traitants doit être réalisée indépendamment du niveau de risque pour les droits et libertés des personnes concernées. L’étendue de cette vérification peut toutefois varier en fonction des risques associés au traitement. Cette nouvelle approche impose donc une surveillance accrue à tous les niveaux de la chaîne de sous-traitance.
L’avis précise que si le sous-traitant initial est tenu de s’assurer que ses propres sous-traitants offrent des garanties suffisantes, la décision finale et la responsabilité d’engager un sous-traitant reposent exclusivement sur le responsable du traitement. Néanmoins, le CEPD considère que le responsable du traitement n’a pas l’obligation de demander systématiquement les contrats de sous-traitance pour vérifier si les obligations en matière de protection des données ont été transmises à la chaîne de traitement.
Vers un changement de modèle des opérateurs du cloud ?
Selon BSA/The Software Alliance, qui représente des géants de l’industrie US tels que Microsoft, Adobe et Docusign…, cet avis de l’institution européenne “remet en cause les pratiques existantes bien établies et a des implications majeures pour les entreprises, en particulier celles qui utilisent des services cloud, au détriment à la fois du responsable du traitement (client commercial) et du sous-traitant (fournisseur de services cloud)“.
Pour BSA, cette interprétation introduit une nouvelle exigence importante selon laquelle les responsables du traitement doivent connaître tous les sous-traitants de leur chaîne de sous-traitance et les sous-traitants doivent fournir proactivement ces informations aux responsables du traitement.
Selon l’organisation, “imposer une telle exigence de bout en bout surchargerait les entreprises, en particulier les petites et moyennes entreprises (PME), sans apporter de réelles améliorations au niveau de protection des données. Elle serait également irréaliste pour les fournisseurs de services cloud agissant en tant que sous-traitants et pour leurs clients commerciaux agissant en tant que responsables du traitement.”
“Chez BSA, nous croyons fermement que l’approche actuelle – dans laquelle les responsables du traitement des données et les sous-traitants maintiennent leurs relations sur la base d’un suivi et d’accords contractuels bien définis – reste le moyen le plus efficace de garantir la protection des données” rétorque l’organisme.
L’avis du CEPD pose effectivement de nouveau défis opérationnels et économiques aux opérateurs du cloud qui externalisent très largement et vont devoir repenser leurs relations avec les tiers.