Responsables de traitement, sous-traitants, titulaires d’une délégation de pouvoirs, délégués à la protection des données personnelles (ou Data Protection Officer « DPO »)… De nombreux acteurs, certes, mais qui sera le responsable en cas de violation des données personnelles ?
I – Responsable du traitement et sous-traitant, tous deux placés sur un pied d’égalité en termes de responsabilité…
A/ Le responsable du traitement, une définition élargie
La loi Informatique et Libertés de 1978 définissait le responsable de traitement de données personnelles comme étant « la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement » (art. 3).
Ainsi, afin d’être qualifié de responsable de traitement, la réunion de deux critères était indispensable :
- La personne doit décider de la finalité du traitement, c’est-à-dire qu’elle doit déterminer les raisons du traitement et les catégories des données qui vont être collectées.
- La personne doit décider des moyens du traitement, c’est-à-dire des modalités de mise en œuvre dudit traitement (durée de conservation, destinataire, droit d’opposition, droit de rectification).
Avec l’entrée en vigueur du Règlement Général sur la Protection des Données personnelles (RGPD) le 25 mai 2018, la définition du responsable de traitement semble élargie. Il s’agit dorénavant de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un Etat membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un Etat membre ». |
Par ailleurs et pour rappel, le chef d’entreprise est aujourd’hui tenu à une obligation de sécurité renforcée que ce soit sur le plan civil en matière de réparation des victimes et/ou de négligence (article 1240 du code civil), mais également sur le plan pénal où les sanctions à son égard peuvent aller jusqu’à cinq ans et trois cent mille euros d’amende (article 226-17 du code pénal).
En effet non seulement l’article 34 de la loi informatique et libertés impose au responsable du traitement des données de « prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment éviter qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès ».
Mais que ce soit également le RGPD, la Directive network security (SRI) du 6 juillet 2016 ou le projet de règlement sur le e-privacy, le corpus réglementaire met à la charge du chef d’entreprise une vraie obligation de sécurité, il devra justifier avoir assuré un niveau adéquat de protection des données personnelles contre le piratage et les actes malveillants d’où qu’ils viennent.
La jurisprudence sanctionne déjà la négligence du dirigeant qui n’assure pas le niveau de protection informatique attendu (par exemple en cas d’atteinte à un Système de Traitement Automatisé de Données lorsque les accès ne sont pas sécurisés, ou que le personnel n’est pas suffisamment formé).
La sévérité des juridictions sera d’autant plus grande que la CNIL et l’ANSSI ont publié des guides des bonnes pratiques en matière de cybersécurité destinés aux entreprises et accessibles gratuitement en ligne.
La formation des salariés est un enjeu crucial et ou cœur de la stratégie de cybersécurité, l’humain étant le maillon faible en cas de cybermalveillance. La refonte des chartes informatiques, la bonne gestion des accès et des mots de passe et la gestion sécurisée des appareils induite par le BYOD (« bring your own device », apporter votre appareil) sont indispensables.
L’article 26 du RGPD consacre également la notion de co-responsabilité des responsables conjoints du traitement. Dorénavant, le sous-traitant, qui serait co-responsable du traitement, pourrait voir sa responsabilité engagée au même titre que le responsable de traitement. Il faudra donc porter une attention particulière à la rédaction de la convention liant les parties afin de fixer de façon précise les obligations et rôles de chacun.
B/ Le recours au contrat de sous-traitance : la plus grande vigilance est de mise…
Il n’est pas rare que le traitement de données à caractère personnel soit confié à un sous-traitant, qui a donc sous sa responsabilité l’ensemble des données confiées, mais cela n’exonère en rien le responsable du traitement de ses propres obligations.
Qu’est-ce que la sous-traitance ? D’après l’article 4-8 du RGPD, il s’agit de la situation dans laquelle « une personne physique ou morale, une autorité publique, un service ou un autre organisme traite des données à caractère personnel pour le compte du responsable du traitement ». |
Le responsable du traitement ou le sous-traitant, ayant violé le RGPD, sera responsable de plein droit en cas de dommage matériel ou moral.
« Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement » (art. 82 al. 2 du RGPD). |
Tous deux pourront s’exonérer de leur responsabilité s’ils démontrent que le fait ayant causé le dommage ne leur est aucunement imputable.
Quant au sous-traitant, ce dernier n’est responsable que s’il a manqué aux obligations lui incombant (par exemple : devoir de conseil en matière de sécurité, de confidentialité et d’accountability, devoir d’assistance, devoir de coopération, notamment en cas de contrôle de la CNIL, nomination d’un délégué à la protection des données, tenue d’un registre de traitement, obligation de notifier toute violation des données au responsable du traitement dans les meilleurs délais) ou s’il a outrepassé les instructions qui lui avaient été données par le responsable du traitement.
« Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci » (art. 82 al. 2 du RGPD). |
Par ailleurs, l’article 82 alinéa 4 du RGPD dispose que « lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective ». Ainsi, la victime pourra se retourner contre le responsable du traitement ou le sous-traitant si ces derniers ont tous deux participé au même traitement.
En tant qu’employeur, si je souhaite confier à un sous-traitant le traitement de mes données personnelles, quelles précautions dois-je prendre ?
|
FOCUS : La responsabilité du responsable de traitement vis-à-vis de l’activité de son sous-traitant (Délib. CNIL du 19 juillet 2017) La société HERTZ a vu prononcer à son encontre une amende de 40.000 € pour violation de données personnelles. Le 15 octobre 2016, la CNIL est informée de l’existence d’une faille de sécurité sur le site www.cartereduction-hertz.com (ce site avait été confié à un sous-traitant de HERTZ), faille permettant d’avoir accès aux données personnelles de milliers de clients de la société HERTZ (nom, prénom, adresse poste, numéro de permis de conduire, etc.). La CNIL informe alors la société HERTZ de cette faille qui demande à son sous-traitant de la corriger. Le 28 octobre 2016, la CNIL constate que la violation des données personnelles a pris fin. Dans sa délibération du 19 juillet 2017, la CNIL indique que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (art. 34 IFL). Les arguments de la société HERTZ sont les suivants :
Cependant, la CNIL considère comme responsable la société HERTZ en ce qu’elle n’a pas suffisamment surveillé les activités de son sous-traitant : en effet, le sous-traitant n’avait pas, par exemple, l’obligation d’établir un cahier des charges. De plus, la société HERTZ n’avait pas contrôlé l’opération de modification des serveurs, opération ayant entrainé la faille de sécurité. Cette position tenue par la CNIL souligne l’importance pour un responsable du traitement de « surveiller » les activités de son sous-traitant, et de s’assurer qu’il présente des garanties suffisantes relatives à la protection des données. Une clause contenue dans un contrat de prestation de services ne peut suffire à exonérer le responsable du traitement de toute responsabilité. *** Avec le renforcement des obligations du responsable du traitement vis-à-vis du choix de son sous-traitant et de l’importance de la rédaction du contrat de sous-traitance, il semble nécessaire d’apporter une vigilance particulière aux contrats de prestation afin d’être en conformité avec le RGPD et ainsi éviter toute sanction prononcée par la CNIL. |
II – La délégation de pouvoirs, instrument permettant de limiter la responsabilité pénale de l’employeur
Aujourd’hui, la délégation de pouvoirs semble être devenue une solution pour les dirigeants souhaitant éviter le risque pénal. Grâce au mécanisme de la délégation de pouvoirs, l’employeur transfère la responsabilité pénale relative au domaine consenti de la délégation à l’un de ses préposés. Son champ d’application s’est étendu notamment aux infractions relatives au traitement des données à caractère personnel. Les critères de validité de la délégation de pouvoirs sont décrits dans le schéma qui suit.
La réalité et la portée de la délégation de pouvoirs relèvent de l’appréciation souveraine des juges du fond.
Ainsi, la mise en place d’une délégation de pouvoirs, conforme aux conditions posées par la législation et les tribunaux, permet à tout chef d’entreprise d’être exonéré de sa responsabilité pénale, sauf lorsqu’il a personnellement participé à l’infraction ou lorsqu’il a commis une faute distincte de celle du délégataire.
Cependant, il faut bien distinguer la responsabilité pénale du chef d’entreprise et celle de l’entreprise elle-même. En effet, la délégation de pouvoirs n’aura aucun effet sur la responsabilité pénale de la personne morale, qui pourra, elle, être sanctionnée. |
En outre, la délégation de pouvoirs ne permet pas d’exonérer le chef d’entreprise de sa responsabilité civile. En effet, l’employeur demeure responsable civilement des condamnations prononcées contre ses directeurs, gérants ou préposés[1]. Il ne peut s’exonérer totalement de sa responsabilité qu’à condition que le préposé ait agi en dehors de ses fonctions, sans autorisation et à des fins étrangères à ses attributions[2].
Toutefois, le délégataire peut engager sa responsabilité civile à l’égard du tiers victime de l’infraction, en cas de faute qualifiée (au sens de l’article 121-3 du Code pénal) et ce même lorsqu’il commet l’une de ces infractions dans l’exercice de ses fonctions[3].
En tout état de cause, il pourra faire l’objet d’une sanction disciplinaire s’il a dépassé les limites de sa mission, hormis le cas où le chef d’entreprise se serait immiscé dans la mission du préposé.
Conseil : Compte tenu des conditions strictes de validité de la délégation de pouvoirs et des risques encourus en cas de délégation dépourvue d’effets, il apparaît nécessaire de vous rapprocher d’un avocat spécialisé en data afin de rédiger ensemble, en synergie de compétences, la délégation de pouvoirs appropriée. |
III – Le DPO, un nouvel acteur… dont la responsabilité ne sera pas engagée en cas de non-conformité au RGPD
Le Data Protection Officer (DPO) se dresse apparemment comme le successeur du Correspondant Informatique et Libertés (CIL), mais avec une fonction démultipliée, véritable mouton à 5 pattes selon certains : tour à tour gendarme, expert indépendant, maître d’œuvre coordinateur, formateur, juriste….
La spécificité du DPO réside dans son profil et dans son positionnement. Il doit posséder une triple compétence : juridique, technique et celle du métier de l’entreprise pour laquelle il va exercer ses fonctions. Quant à son positionnement, il doit lui garantir de pouvoir effectuer sa mission sans être placé en situation de conflit d’intérêt. Cela induit une fiche de poste très claire, un budget sanctuarisé, un accès à tous les services et qu’il soit lui-même facile à contacter par tous. Pour cela le DPO doit obligatoirement être rattaché au plus haut niveau de l’organigramme de l’entreprise. Il ne peut en aucun cas appartenir à l’un des services qu’il doit contrôler tel que la DSI ou le Service juridique.
En cas de non-respect du RGPD, le délégué à la protection des données ne sera pas personnellement responsable. En effet, d’après les lignes directrices du G29, le respect de la protection des données à caractère personnel relève de la responsabilité du responsable de traitement ou bien du sous-traitant.
Dans quelles hypothèses le DPO pourrait-il voir sa responsabilité pénale engagée ?
|
Le recours à un DPO est certes un signal fort de mise en conformité mais en aucun cas n’est exonératoire de responsabilité, a fortiori s’il est salarié car nonobstant le lien de subordination il sera par essence indépendant.
La CNIL a refusé d’y voir un salarié protégé au sens du droit social mais la jurisprudence tiendra compte de sa quadruple casquette pour assurer un niveau de protection suffisant en cas de conflit avec son employeur.
La parfaite traçabilité de vos instructions mais aussi des commentaires conseils et mises en garde éventuels de votre DPO attitré sera au cœur des débats.
IV – Le pouvoir accru de sanction de la CNIL, un des changements majeurs du RGPD
La protection des données personnelles est une réelle préoccupation pour le législateur et l’évolution du pouvoir de sanction de la CNIL en est la preuve.
Actuellement, les sanctions pouvant être prononcées par la CNIL sont, par exemple :
- Avertissement (qui peut être rendu public)
- Injonction de cesser le traitement
- Retrait de l’autorisation accordée par la CNIL
- Mise en demeure
L’article 58 alinéa 2 du RGPD prévoit que : « Chaque autorité de contrôle dispose du pouvoir d’adopter les mesures correctrices suivantes :
a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement ; b) rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement ; c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement ; d)ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé ; e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel ; f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ; g) ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l’article 17, paragraphe 2, et de l’article 19 ; h) retirer une certification ou ordonner à l’organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l’organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites ; i) imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas ; j) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale. » |
De plus, la CNIL peut également prononcer des sanctions pécuniaires dont les plafonds n’ont cessé d’être augmentés lors des différentes réformes :
Au delà des sanctions administratives, ce sont surtout les recours juridictionnels ouverts aux particuliers, aux syndicats, organismes et associations qui seront à craindre.
Une cyber attaque peut révéler la négligence d’une entreprise et potentiellement la non-conformité à l’article 34 de la loi de 78 quant à l’obligation de prendre « toutes les précautions utiles » pour préserver la sécurité des données, et à l’obligation d’assurer une sécurité appropriée dans le nouveau RGPD.
Il ne suffira pas d’assurer la conformité au RGPD, il faudra aussi la maintenir, la cybersécurité n’est pas simplement une question statique de technique informatique mais surtout de résilience, d’amélioration continue de vos process. Les actions continues de sensibilisation et de formation des salariés sont la clé de réussite de la conformité résiliente.
Ainsi, si la responsabilité du responsable du traitement ou du sous-traitant est engagée, telles sont les risquest qu’ils encourent… Cela ne peut qu’inciter les chefs d’entreprise à prendre toutes les précautions nécessaires afin que les données personnelles soient au mieux protégées.
Enfin, le RGPD ne doit pas être vécu comme une contrainte ni un repoussoir, c’est l’opportunité de d’assurer une saine gouvernance de ses données voire de créer de nouveaux métiers et scénarios d’utilisation autour de la donnée.
[1] C. trav. L. 4741-7
[2] Cass. Crim. 16 février 1999, n° 96-86.225
[3] Ass. Plén. 14 déc. 2001, n°00-82.066, Cass. Crim. 28 mars 2006, n°05-82.975
[4] https://www.cnil.fr/fr/les-sanctions-penales