Le Comité européen de la protection des données (CEPD) a adopté, en date du 9 octobre 2024, un “Avis 22/2024 sur certaines obligations découlant de la dépendance envers le(s) processeur(s) et le(s) sous-processeur(s)La Commission a publié un “avis sur la protection des données”, c’est-à-dire un avis sur certaines obligations des responsables du traitement en ce qui concerne le recours à des sous-traitants, et notamment à des sous-traitants secondaires.
L’autorité danoise avait posé une série de questions concrètes sur la base de l’article 62, paragraphe 2, du RGPD, auxquelles l’Opinion répond. Elle n’aborde pas – malheureusement ou heureusement, selon les cas – la notion de sous-traitant.
Au final, l’EDSA n’est pas particulièrement stricte sur tous les points. Mais en même temps, il apparaît une fois de plus que
- le responsable n’échappe pas à sa responsabilité, même par une chaîne de traitement à plusieurs niveaux, et que
- les autorités partent du principe que les responsables disposent du personnel et du budget nécessaires pour assumer cette responsabilité de manière consciente, active, permanente et sérieuse. Les indications du CEPD ne sont pas claires dans tous les détails ; les autorités n’accepteraient toutefois pas un manque de clarté quant à savoir qui traite quelles données et où.
Clarté de la chaîne de traitement
Tout d’abord, l’EDSA rappelle que le responsable détermine l’ensemble de la chaîne. L’une des raisons invoquées par l’EDSA est que le responsable doit, dans le cadre de l’obligation d’information, mentionner les différents destinataires (la CJCE l’a seulement pour le droit d’accès mais le ferait certainement aussi pour l’obligation d’information). Il faut donc en conclure, dans le contexte de l’Opinion, qu’en tant qu’éventuellement destinataire à indiquer ne s’applique pas seulement à la première étape, mais aussi à indiquer pour chaque UAB. Le responsable doit donc également connaître toutes les sous-UAB:
Bien que cela ne soit pas explicite dans ces dispositions, le Conseil considère qu’aux fins des articles 28(1) et 28(2) du GDPR, les contrôleurs devraient avoir les informations sur l’identité de tous les processeurs, sous-processeurs, etc. facilement disponibles à tout moment, afin qu’ils puissent s’acquitter au mieux de leurs obligations en vertu des dispositions susmentionnées.
Cela n’est toutefois guère transposable à la Suisse, ne serait-ce que parce qu’il est incontesté que l’indication des catégories de destinataires est suffisante. A cela s’ajoute le fait que, selon le RGPD, le responsable du traitement a en principe une responsabilité causale pour les sous-traitants (CJCE, Deutsche Wohnen) ; c’est également un point pour l’EDSA, mais cela n’est pas non plus transférable.
Une précision est ensuite apportée en ce qui concerne la procédure avec droit de veto, plus courante dans la pratique : dans ce cas, l’AB devrait donner au responsable fournir de manière proactive certaines informations sur les nouvelles UABL’EDSA mentionne le nom et l’objet du traitement. Cela signifie toutefois aussi que le GE ne doit pas seulement mentionner les nouveaux SIE, mais aussi tous les SIE subordonnés tout au long de la chaîne, et chaque SIE doit faire de même pour les niveaux suivants. Chaque niveau doit donc inventorier toute la chaîne de traitement en aval.
Il suffit toutefois que ces informations soient à chaque fois “easily accessible”. Une liste de diffusion à laquelle le responsable (ou par la suite l’AB, etc.) doit s’inscrire ne devrait donc pas poser de problème.
Cela n’est pas transposable à la Suisse, ne serait-ce que parce que le RGPD impose au responsable du traitement d’indiquer les différents destinataires des données, du moins en cas de demande d’accès.
Contrôle de la chaîne de traitement
Partant du principe d’accountability (que le sage législateur suisse n’a pas repris), l’EDSA estime que le responsable doit assurer la sécurité des données – comprise comme la sécurité des données, mais aussi comme le privacy by design – tout au long de la chaîne :
Les articles 24(1) et 28(1) du GDPR doivent être interprétés comme exigeant du responsable du traitement qu’il s’assure que
que la chaîne de traitement ne se compose que de processeurs, sous-processeurs, sous-sous-processeurs (etc.) qui fournissent ‘des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées’. En outre, le contrôleur devrait être en mesure de prouver qu’il a pris en compte sérieusement tous les éléments prévus par le GDPR.
Cela concerne tout d’abord la première étape de l’AB, au cours de laquelle le responsable doit procéder à une vérification préalable (Vendor Assessment, Third-Party Risk Assessment) adaptée aux circonstances. La manière dont il doit procéder à cet égard n’est pas précisée :
Par exemple, le contrôleur peut choisir de remplir un questionnaire comme moyen de collecter des informations auprès de son processeur afin de vérifier les garanties pertinentes, de demander la documentation pertinente, de se fier à des informations disponibles publiquement et/ou à des certifications ou à des rapports d’audit émanant de tiers de confiance et/ou d’effectuer des audits sur place.
En principe, le responsable doit également mener des réflexions correspondantes pour les niveaux en aval (et les documenter !), mais là aussi, les risques pour les personnes concernées sont déterminants. Et il peut ici faire appel au soutien de l’AB :
Cette obligation est facilitée, d’une part, par les obligations d’assistance et d’audit imposées aux processeurs et, d’autre part, par les informations fournies par le processeur initial au contrôleur avant l’engagement de processeurs supplémentaires.
Concrètement, cela signifie ce qui suit :
- Le sous-traitant doit fournir toutes les informations nécessaires, le contrat devant déterminer le mécanisme approprié :
Le responsable du traitement devrait être pleinement informé des détails du traitement qui sont
pertinent pour démontrer la conformité avec les obligations prévues à l’article 28 du GDPR, et le processeur devrait fournir toutes les informations sur la manière dont l’activité de traitement est effectuée pour le compte du responsable du traitement. Le contrat doit préciser la fréquence et la manière dont ce flux d’informations doit avoir lieu. - le responsable peut en principe se fier à ces informations ;
- il en va de même pour les niveaux suivants de la chaîne ; l’AB doit donc contrôler le SEA.
Cela ne répond toutefois pas à la question du rôle que le responsable doit assumer auprès des UAB. L’EDSA dit à ce sujet
Le site décision ultime sur la question de savoir s’il faut engager un sub-(sub-)processor et la responsabilité y afférente, y compris en ce qui concerne la vérification de la suffisance des garanties fournies par le (sous-)processeur, remains with the controller. Comme cela a déjà été rappelé, en cas d’autorisation générique ou spécifique, il appartient toujours au contrôleur de décider s’il approuve l’engagement de ce sous-processeur ou s’il s’y oppose. […]
Cela implique que le responsable du traitement peut choisir de se fier aux informations reçues de son processeur et, si nécessaire, de les compléter. Par exemple, lorsque les informations reçues par le responsable du traitement semblent incomplètes, inexactes ou suscitent des questions, ou lorsque cela est approprié au vu des circonstances du cas, y compris le risque associé au traitement, le responsable du traitement devrait demander des informations supplémentaires et vérifier/corriger les informations et les compléter/corriger si nécessaire.
Cela laisse ouverte la question décisive de savoir si le responsable doit également approuver le recours à des sous-SEA. Si, par exemple, un assureur fait appel à Microsoft (AB) et que Microsoft, par exemple Snowflake, est considéré comme un sous-traitant conformément à l liste correspondante de Microsoft, ce n’est guère la fin de la chaîne. Microsoft doit-elle donc également informer le client lorsque Snowflake fait appel à un nouveau fournisseur d’accès ?
Ce n’est guère un hasard si l’EDSA n’aborde pas explicitement cette question. Toujours est-il qu’une indication suivante suggère que le responsable ne doit pas aller aussi loin en temps normal, mais seulement dans les cas à haut risque (car c’est seulement dans ce cas que l’EDSA ne se réfère pas seulement aux EIAS que le responsable doit approuver, mais explicitement à l’ensemble de la chaîne) :
Plus spécifiquement, pour les traitements présentant un risque élevé pour les droits et libertés des personnes concernées, le contrôleur devrait augmenter son niveau de vérification en termes de contrôle des informations fournies sur les garanties offertes par le différents processeurs dans la chaîne de traitement.
Le responsable a également le droit de ADV entre l’AB et l’UAB et, selon l’EDSA, il peut également demander les contrats de la chaîne suivante. Mais il n’est pas obligé de le faire :
This said, the controller n’a pas l’obligation de demander systématiquement les contrats de sous-traitance de vérifier si les obligations en matière de protection des données prévues dans le contrat initial ont été transmises à la chaîne de traitement. Le responsable du traitement doit évaluer, au cas par casLe responsable du traitement doit s’assurer qu’il est en mesure de prouver sa conformité à la lumière du principe de responsabilité, qu’il s’agisse de demander une copie de ces contrats ou de les examiner à tout moment. Dans le cadre de l’exercice de son droit d’audit en vertu de l’article 28, paragraphe 3, point h), le responsable du traitement devrait disposer d’un processus lui permettant d’entreprendre des campagnes d’audit afin de vérifier, par échantillonnage, que les contrats conclus avec ses sous-traitants contiennent les obligations nécessaires en matière de protection des données.
Transmission à l’étranger
Ici aussi, l’EDSA commence par la responsabilité du responsable – en cas de transfert onward non autorisé par un AB ou un UAB il reste responsableIl peut ainsi enfreindre l’article 44 du RGPD :
Par exemple, le contrôleur et le processeur restent, en principe, responsables en vertu du chapitre V du GDPR pour un transfert initial ou à terme illégal et pourraient donc tous deux être tenus individuellement responsables en cas d’infraction.
Mais la même chose que ci-dessus s’applique : Cela ne dit pas comment le responsable assume sa responsabilité. En ce sens, la question du transfert à l’étranger ne change rien ; le responsable doit effectuer des contrôles appropriés en fonction des risques et prendre des mesures contre les violations. C’est pourquoi, lorsqu’il autorise un PUI, il doit également être informé des données qui seront éventuellement transférées vers un pays tiers (“…”).Mapping”), et s’il a des doutes sur la qualité des informations, il doit demander des précisions.
Le responsable doit également savoir sur quelle base le transfert vers le pays tiers doit avoir lieu. L’EDSA fait ici des déclarations plus concrètes. Le responsable devrait avoir et vérifier les informations suivantes :
- Décision d’adéquationsi la décision est en vigueur et si la transmission entre dans le champ d’application de la décision ;
- GarantiesSi des garanties appropriées sont utilisées, telles que les clauses contractuelles types, le responsable du traitement doit s’assurer qu’une évaluation d’impact de transfert (TIA) est effectuée :
Dans ce cas, le contrôleur devrait évaluer les garanties appropriées mises en place et être attentif à toute législation problématique qui pourrait empêcher le sous-traitant de se conformer aux obligations établies dans son contrat avec le processeur initial93. Plus spécifiquement, le le contrôleur doit s’assurer qu’une telle “évaluation de l’impact du transfert” est effectuée, en ligne avec la case-law95, et comme expliqué dans les recommandations EDPB 01/2020.
L’AB devrait être en conséquence Divulguer l’AIT. Le responsable peut en principe s’y fier à nouveau :
La documentation relative aux garanties appropriées mises en place, l’ ”évaluation de l’impact du transfert” et les éventuelles mesures complémentaires doit être produit par le processeur/exportateur (le cas échéant, en collaboration avec le processeur/importateur). Le contrôleur peut se fier à l’évaluation préparée par le (sous-)processeur et, si nécessaire, la construire.
En conséquence, la question controversée de savoir si le responsable peut exiger la restitution de l’AIT devrait être résolue au moins pour le RGPD.
Droit national et notion de “directives
L’ADV peut ou doit s’adresser au cas où l’AB n’a pas respecté son engagement. au droit national et peut donc être contraint de traiter les données de commande en dehors des instructions du responsable du traitement. Dans la pratique, le problème est que l’article 28 du RGPD ne s’applique pas ici. uniquement le droit de l’EEE ou des États membres mais pas le droit des pays tiers, raison pour laquelle un responsable allemand ne peut théoriquement pas autoriser l’AB suisse à traiter des données conformément à un droit suisse divergent.
Dans la pratique, c’est généralement le droit de l’enfant qui est utilisé. également des États non européens de l’AB est réservée. L’EDSA précise à ce sujet que cette pratique est autorisée :
la lumière de l’analyse ci-dessus, le CEPD estime que, y compris dans un contrat entre le responsable du traitement et le processeur, l’exception prévue à l’article 28(3)(a) du RGPD “sauf si la législation de l’Union ou d’un État membre à laquelle le processeur est soumis l’exige” (soit verbatim, soit en des termes très similaires) est fortement recommandée, mais que pas strictement nécessaire afin d’être en conformité avec l’article 28, paragraphe 3, point a), du RGPD. Cette position est sans préjudice de la nécessité d’une obligation contractuelle d’informer le responsable du traitement lorsque celui-ci est légalement tenu de traiter des données à caractère personnel autrement que sur instruction du responsable du traitement […].
Il rappelle en outre que, dans un tel cas, un transfert ou un transfert ascendant vers un pays tiers a probablement eu lieu et que, dans ce cas, les exigences des articles 44 et suivants du RGPD doivent être respectées. RGPD doivent être respectées, ce qui conduit à un examen du droit du destinataire (dans le cadre de la décision d’adéquation ou d’un TIA).
L’EDSA soulève une autre question passionnante : Si le responsable permet à l’AB de traiter les données de manière différentesi la loi l’exige – c’est une directive du responsable ? Dans la pratique, on observe que les traitements différents effectués par le responsable sont inclus dans le contrat en tant qu’instructions pour permettre ces traitements, ce qui soulève toutefois la question de savoir si le responsable est autorisé à donner de telles instructions (par exemple, dans le cas de Microsoft, lorsqu’il s’agit du traitement limité à des fins propres prévu par le DPA de Microsoft).
L’AESD estime ici qu’une telle instruction
- suffisamment détaillé et
- à tout moment révocable son
doit être une instruction. Cette dernière condition n’est pas remplie dans la pratique dans de tels cas, raison pour laquelle il n’y a pas d’instruction – en tout cas pas d’instruction conforme à la protection des données, selon l’avis du CEPD.