La loi Informatique et Libertés avait posé, dès 1978, le principe selon lequel le responsable de traitement devait contrôler et encadrer l’action de ses sous-traitants. Gageons qu’en 1978, le principe pouvait technologiquement être suivi d’effet.
Près de 40 ans plus tard, force est de constater que ce principe relève de l’illusion parfaite. L’informatisation est devenue tellement importante que les clés des traitements de données sont désormais entre les mains des éditeurs de logiciels et fournisseurs de services « dans le nuage ». Finalités et moyens du traitement sont désormais définis par ces acteurs, les responsables de traitement ayant pour seul choix d’adhérer ou non aux conditions proposées.
Un exemple ? Au Ministère de la Justice. Il y a peu encore, pour obtenir le versement d’une indemnité due par l’Etat, tout administré devait communiquer son numéro de sécurité sociale. Evidemment, l’information n’était pas nécessaire au traitement. En revanche, elle était indispensable pour permettre la prise en compte par le logiciel de la demande de paiement. En pratique, le Ministère était donc contraint de commettre un délit – pas de souci, l’Etat n’est jamais pénalement responsable – pour pouvoir utiliser le logiciel de son prestataire. L’encadrement du sous-traitant – ici, l’éditeur – par le responsable de traitement – le Ministère de la Justice, tout de même ! – était donc purement théorique.
La situation est on ne peut plus fréquente. On la rencontre dans tous les domaines, et notamment en matière médicale où les conditions de mise en œuvre des équipements sont presque exclusivement déterminées par les fabricants. L’état actuel de la législation, dans le cadre de laquelle seul le responsable de traitement peut être inquiété, le sous-traitant craignant au pire l’annulation de son contrat (CA Paris, 25 mars 2016, Affaire Easydentic), n’incite pas vraiment au respect des prescriptions de la loi Informatique et Libertés.
Le Règlement Général relatif à la Protection des Données (RGPD) devrait rétablir l’équilibre entre les responsables de traitement et éditeurs. Comment ? Trois types de leviers pourront être utilisés par les premiers pour reprendre le contrôle des données.
En amont de la mise en œuvre du traitement, les responsables de traitement devront s’assurer que les éditeurs pressentis présentent des garanties suffisantes quant au respect du droit de la protection des données. A cet égard, la non-conformité d’un logiciel ou service Cloud à la règle du Privacy by Design – c’est-à-dire l’obligation de proposer des solutions conformes à la législation – pourra ainsi justifier l’éviction systématique d’un appel d’offres des prestataires les moins respectueux du droit de la protection des données ou la rupture des pourparlers contractuels. Sous peu, l’offre pourrait donc se réduire.
Une fois le logiciel installé ou les droits d’accès au nuage accordés, l’équilibre des forces sera assuré par le biais de trois dispositions du RGPD. L’effectivité de l’obligation faite au sous-traitant de notifier à son mandant toute non-conformité au droit de la protection des données sera ainsi garantie par la possibilité d’engager sa responsabilité personnelle et de réaliser des audits de conformité. Evidemment, aucun éditeur n’adresse à ses clients une notification de non-conformité de telle ou telle fonctionnalité de son logiciel. En toute logique, il devrait donc les passer sous silence et les corriger au plus vite. La pure et simple conservation du silence ne devrait pas être une option.
En effet, supposons enfin que les écarts de l’éditeur soient constatés par la Commission à l’occasion d’un contrôle. A l’heure actuelle, seul le responsable de traitement peut faire l’objet d’une procédure de sanction administrative. Certes, l’hypothèse d’une sanction pour défaut de contrôle du sous-traitant – le 5 novembre 2015, la CNIL a prononcé une sanction de 50 000,00 euros sur ce fondement – demeurera avec le RGPD. Mais le plus ennuyé, dans cette hypothèse, serait alors vraisemblablement notre indélicat sous-traitant. Le RGPD permettra en effet de prononcer une sanction jusqu’alors inédite en France : le déclarer coresponsable du traitement et, ainsi, faire peser sur lui des obligations identiques à celle de son mandant. Cette sanction a d’ores et déjà été mise en œuvre au niveau européen, lors du transfert illicite des données bancaires des européens aux autorités américaines par SWIFT (Avis du Contrôleur Européen de la Protection des Données (CEPD) du 1er février 2007 dans l’affaire SWIFT).
A moyen terme, l’équilibre dans les rapports responsables de traitement – éditeurs de logiciels devrait donc permettre aux premiers d’encadrer effectivement les seconds.
Des zones d’incertitude demeurent toutefois. Combien de temps faudra-t-il pour obtenir ce rééquilibrage ? Comment se passera la transition entre la situation actuelle – où la maitrise du traitement de données est essentiellement le fait de l’éditeur du logiciel – et le contrôle de l’activité du sous-traitant par les utilisateurs ? Le RGPD entre en vigueur le 25 mai 2018. Le brouillard devrait donc être rapidement dissipé.
Et il reste peu de temps aux responsables de traitement pour sensibiliser leur service Achats au droit de la protection des données et aux éditeurs pour s’assurer de la conformité de leurs solutions.