L’évolution des critères quant au choix du sous-traitant

L’article 17 alinéa 2 de la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, prévoyait une obligation pour le responsable de traitement de «devoir» choisir un sous-traitant sur la base des garanties qu’il présente en matière de sécurité. Cet article a été transposé à l’article 35 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui dispose que «le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34». La sécurité des données personnelles était donc être le seul critère déterminant à prendre en compte par le responsable de traitement, pour effectuer le choix de son sous-traitant. A cet égard, seul le responsable de traitement était responsable en cas de manquement à l’obligation de sécurité, même si ce manquement résultait de son sous-traitant.

Le Règlement Général sur la Protection des Données, est venu préciser et renforcer les obligations du responsable de traitement, dès lors qu’il souhaite faire appel à un sous-traitant. L’article 28 alinéa 1 du RGPD dispose que le responsable de traitement «fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée».

Le législateur européen a considérablement élargi les critères à prendre en compte dans le choix d’un sous-traitant, puisque l’article 28 ne mentionne plus uniquement l’obligation de sécurité, mais l’ensemble de mesures techniques et organisationnelles visant à respecter les exigences du RGPD. L’emploi de l’adverbe «uniquement» ne laisse plus aucune interprétation possible sur la marge de manœuvre laissée au responsable de traitement, il a l’obligation d’apprécier les garanties suffisantes offertes par un sous-traitant sur la base des exigences prévues dans le RGPD.

Etant donné que le responsable doit mettre «en place des mesures techniques et organisationnelles appropriés pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement», il devra nécessairement documenter les mesures prises pour apprécier lesdites garanties suffisantes offertes par le sous-traitant, afin de conserver des preuves et être en mesure de démontrer le respect des exigences du règlement (principe d’Accountability).

Le corolaire de cette obligation concerne les sous-traitants, puisque ces derniers devront être en mesure de démontrer qu’ils présentent des garanties suffisantes, au risque dans le cas contraire de ne pas être sélectionnés par des clients potentiel.