Le droit d’accès et l’encadrement des relations avec les sous-traitants - compte-rendu de la journée RGPD de la CNIL du 09/04/24 à Lille

Dans un contexte de numérisation de la société, la Commission Nationale de l’Informatique et des Libertés (CNIL) - autorité de contrôle des données personnelles en France - a deux objectifs principaux : apporter de la sécurité juridique et créer de la confiance. En effet, son but est de redonner aux citoyens le contrôle sur leurs données en rendant les systèmes d’information moins opaques et plus transparents. Pour cela, elle a notamment décidé d’organiser des évènements récurrents ayant lieu partout en France, à diverses périodes, pour parler des actualités en droit du numérique : les journées RGPD (journées dédiées au règlement général sur la protection des données - RGPD -, mais pas que !)

Le 9 avril dernier, la CNIL a animé une journée RGPD à Lille, en collaboration avec la Faculté de Droit de l’Université Catholique de Lille et l'Association Française des Juristes d'Entreprise (AFJE). Au programme, plusieurs thématiques ont été abordées, que nous déclinerons sous forme de 4 publications :

Dans cet article, concentrons nous donc sur le droit d'accès et l'encadrement des relations avec les sous-traitants.

Le droit d’accès

Eric DELISLE, chef du service de l’emploi, des solidarités, du sport et de l’habitat à la CNIL

Étant donné qu’il est très difficile de répondre à des demandes de droit d’accès, notamment lorsqu’elles sont effectuées dans un contexte de contentieux, une fiche pratique a été élaborée par la CNIL - disponible sur internet - pour aider à répondre aux demandes de droit d’accès dans le domaine professionnel.

La question ici est de savoir comment répondre à un droit d’accès sur un email professionnel, les données personnelles y étant très larges. Or, si le droit d’accès est exercé, le responsable de traitement doit être en capacité de répondre au demandeur, bien que cela soit compliqué.

  • Lorsque le demandeur est expéditeur ou destinataire des courriels, la communication est présumée respectueuse des droits des tiers. L’anonymisation ou la pseudonymisation constituent de bonnes pratiques. Mais, s’il y a un risque d’atteinte à la vie privée ou à un secret dans la communication, il faudra supprimer, anonymiser ou pseudonymiser les informations avant leur communication, voire même refuser de faire droit à la demande en motivant sa décision.

  • Lorsque le demandeur est mentionné dans le contenu des courriels, l’employeur doit s’assurer que l’identification des courriels ne demande pas de moyens disproportionnés : il peut inviter le demandeur à préciser sa demande, étudier le contenu des emails et apprécier la portée de l’atteinte aux droits des tiers.

La Cour de justice de l’Union européenne (CJUE) est consciente de la longueur, lourdeur et complexité pour répondre à l’exercice d’un droit d’accès sur des emails professionnels, mais considère qu’il faut y quand même y répondre. Dès lors, la question des durées de conservation des mails dans les structures professionnelles doit être posée - même si elle est souvent oubliée.

Plusieurs évolutions du droit de la preuve sont à noter :

  • Avant, seul le droit social avait de la jurisprudence sur le sujet, avec le principe de loyauté dans l’administration de la preuve (cass. ass. plén., 07/01/2011, n°09-14667)

  • Puis, la Cour européenne des droits de l’Homme (CEDH) a considéré que droit de la preuve prime sur le droit de la protection des données personnelles (CEDH, 17/10/2019, Lopez Ribalda c/ Espagne, n°1874-13)

  • La France a donc dû s'aligner avec la jurisprudence européenne en admettant une preuve illicite (arrêt “petit bateau”, cass. soc., 30/09/2020, n°19-12058 ; arrêt “AFP”, cass. soc., 25/11/2020, n°17-19523), admission consacrée par l’assemblée plénière de la Cour de cassation fin 2023 (cass. ass. plén., 22/12/2023, n°20-20648 et n°21-11330)

Il y a lieu de considérer désormais que, dans un procès civil, l'illicéité ou la déloyauté dans l’obtention ou la production d'un moyen de preuve ne conduit pas nécessairement à l’écarter des débats.
Le juge doit, lorsque cela lui est demandé, apprécier si une telle preuve porte atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance le droit à la preuve et les droits antinomiques en présence, le droit à la preuve pouvant justifier la production d’éléments portant atteinte à d’autres droits à condition que cette production soit indispensable à son exercice et que l’atteinte soit strictement proportionnée au but poursuivi
”.

Cour de cassation, Assemblée plénière, 22 décembre 2023, n°20-20.648, publié au bulletin

Bien que la jurisprudence soit désormais claire en la matière, sa mise en pratique est parfois délicate. En présence d’une preuve illicite, le juge est tenu de réaliser un test de proportionnalité, décliné comme suit :

  • Il doit s’interroger sur la légitimité du contrôle opéré par l’employeur et vérifier s’il existait des raisons concrètes qui justifiaient le recours à la surveillance et l’ampleur de celle-ci ;
  • Il doit rechercher l'existence de moyens alternatifs plus respectueux de la vie personnelle du salarié ;
  • Il doit apprécier le caractère proportionné de l’atteinte portée à la vie personnelle du salarié au regard du but poursuivi.

Enfin, l’on peut se demander ce qu’un organisme risquerait s’il purgeait l’illicéité d’une preuve sur le plan du RGPD. Dans cette hypothèse, l’on peut raisonnablement s’attendre à ce que la CNIL soit fondée à poursuivre cet organisme qui purgerait la preuve illicite (par exemple en supprimant un enregistrement de vidéosurveillance). Mais ça ne reste qu’une hypothèse…

Les manquements les plus fréquents et questions les plus posées concernant les relations avec les sous-traitants

Nacera BEKHAT, cheffe du service des affaires économiques à la CNIL

Les principaux manquements observés sont relatifs à l’article 28 du RGPD, avec l’absence de contrat et/ou de clauses obligatoires (ou leur non-signature) - ce qui signifie qu’aucune des parties n’est engagée et que la gestion des risques est inexistante - et l’absence de mesures de sécurité précises (ou leur insuffisance) avec par exemple la simple mention que des mesures de sécurité sont mises en place, mais aucune information n’est donnée sur leur mise en œuvre concrète.

Plusieurs questions sont fréquemment posées à la CNIL sur l’encadrement des relations contractuelles avec les sous-traitants :

  • Quelles sont les conséquences d’une mauvaise qualification des parties ?

Il faut savoir que la CNIL n’est pas liée par les qualifications données par les parties. Les manquements seront analysés au regard de la réelle qualification des parties, c’est-à-dire que la CNIL va constater les faits et les analyser pour déterminer la réelle qualification des parties (responsable de traitement, co-responsable de traitement, responsable de traitement disjoint, sous-traitant, sous-traitant ultérieur, concepteur de service numérique).

  • Quel niveau de contrôle des sous-traitants ?

Les sous-traitants ont des obligations posées par le RGPD (article 28.3.h). Il s’agit d’une approche par les risques, ce qui signifie qu’un contrôle plus régulier et plus complet est effectué pour les traitements sensibles : le responsable de traitement doit être davantage proactif s’agissant des traitements de données ayant une certaine sensibilité (cf. guide des sous-traitants du Danemark avec un score de proactivité).

  • Un sous-traitant peut-il réutiliser des données confiées dans le cadre de la prestation ?

Pour qu’un sous-traitant puisse réutiliser des données confiées dans le cadre d’une prestation, il doit demander l’autorisation écrite au responsable de traitement (c’est-à-dire à l’autorisation de son client) qui devra réaliser un test de compatibilité (test permettant de savoir si la réutilisation est compatible avec le traitement initial).

Pourquoi, quand et comment encadrer les sous-traitants ?

Christophe BLOMME, responsable juridique du groupe Agapes et délégué à la protection des données

Il est nécessaire d’encadrer les sous-traitants tout d’abord, car c’est une obligation fixée par le RGPD, mais aussi parce que des co-responsabilités sont possibles : le responsable de traitement étant toujours responsable en premier lieu, il est indispensable de qualifier correctement les parties et d’encadrer les relations contractuelles.

Également, encadrer ses sous-traitants permet une meilleure gouvernance de la donnée et image / réputation de l’organisme.

3 phases distinctes sont dès lors nécessaires pour encadrer les sous-traitants :

  • La phase pré- contractuelle, avec l’identification des sous-traitants concernés, l’adressage de questionnaires destinés à vérifier leurs aptitudes, les diagnostics en vue d’une analyse d’impact sur la protection des données (AIPD) et la négociation et adaptation des instructions (SaaS, SLA, sous-traitance ultérieure, transfert de données, etc.)…

  • La phase contractuelle, avec la réalisation d’audits, l’automatisation des durées de conservation, la responsabilité en cas de sous-traitance ultérieure, de dommages indirects ou encore de perte de données, mais aussi le comportement à adopter à la suite d’un incident…

  • La phase post-contractuelle, avec notamment la restitution des données et leur destruction…

La conformité ou la continuité ? REX d’un DPO en collectivité territoriale

Adrien HOFFMANN, délégué à la protection des données - PRADA - Conseil départemental du Nord

Les collectivités territoriales sont complexes, du fait de leur peuplement, de la diversité des métiers qui les composent et surtout de leur gestion des données personnelles. En effet, les collectivités territoriales sont soumises à un principe de valeur constitutionnelle : la continuité du service public, qui peut malheureusement entrer en contradiction avec les principes du RGPD.

Les outils de la CNIL sont utiles, ainsi que les divers partages entre professionnels de la matière qui ont les mêmes difficultés. En théorie, lorsqu’un sous-traitant ne respecte pas le RGPD, il suffit d’en changer et d’en choisir un qui le respecte. Néanmoins, en pratique, c’est plus compliqué, surtout dans le service public. En effet, il est impossible pour les collectivités territoriales de mettre en pause un projet du fait de son inconformité du RGPD. Par exemple, il n’est pas possible de dire aux individus qu’ils ne percevront plus le RSA pendant 1 mois, car le logiciel est en cours de mise en conformité…

Également, l’absence d’alternative se fait sentir : les collectivités territoriales font face à des situations de monopole (notamment pour le traitement de l’action sociale) qui aboutissent à la prévalence du maintien de l’activité telle quelle. La continuité contractuelle l’emporte par défaut d’alternative de conformité.

Bien que les collectivités territoriales ne soient pas 100% conformes, elles travaillent toutefois à un processus itératif de mise en conformité. Il n’est certes pas possible de faire des audits de conformité de tous les sous-traitants, mais des priorités selon les risques sont établies, permettant d’aller progressivement vers des sous-traitants plus conformes au RGPD.