La CNIL sanctionne désormais les sous-traitants de DCP

  • à 15:30
Une nouvelle doctrine en matière de responsabilité

Une nouvelle doctrine en matière de responsabilité.

La décision du 27 janvier 2021 marque l’avènement d’une nouvelle doctrine pour la CNIL. La sanction prononcée est motivée par :

  • Une documentation insuffisante des mesures de sécurité par le responsable de traitement.
  • L'absence de proposition de telles mesures par le sous-traitant.

Mais avant d'aller plus loin, revenons sur la position "classique" de la CNIL.

La doctrine de la CNIL avant le 27 janvier 2021

Jusque-là, les sous-traitants étaient dans une position de force. Ils agissaient pour le compte et selon les instructions documentées du responsable de traitement. Cette disposition, présente dans la grande majorité des contrats de sous-traitance, leur permet de dégager leur responsabilité. D’ailleurs, jusqu’à cette année, la CNIL ne sanctionnait que le responsable de traitement lorsqu’un de ses sous-traitants manquait à une de ses obligation. Ainsi, le responsable de traitement se retrouvait dans l’obligation de :

  • Prévoir, dans ses instructions documentées, des mesures de sécurité que le sous-traitant mettra en place afin de s’assurer d’un niveau de protection suffisant des traitements sous-traités ;
  • De réaliser des audits et d’en prendre en charge les frais afin de s’assurer de l’effectivité des mesures de sécurité indiquées au contrat.

Le régime de responsabilité qui pesait sur le responsable de traitement était lourd. Il l’était d’autant plus que cette doctrine rendait les relations qu’il entretenait avec ses sous-traitants déséquilibrées. En effet, dans la mise en place de clause « RGPD », la marge de négociation était inexistante pour le responsable de traitement. Le sous-traitant n’étant pas exposé aux sanctions, celui-ci s’opposait régulièrement à ces clauses. Par conséquent, le responsable de traitement devait en assumer le risque ou changer de sous-traitant. Cette dernière option, étant très contraignante, n'est pas toujours envisageable pour un responsable de traitement.

Les conséquences de la décision du 27 janvier 2021

Dans sa décision, la CNIL sanctionne le responsable de traitement pour l'absence de mesures documentées permettant de prévenir les traitements contre le "credential stuffing". Toutefois, elle sanctionne également le sous-traitant en considérant que ce dernier doit proposer des mesures de sécurité appropriées au responsable de traitement.

La sanction prononcée par la CNIL est donc deux amendes dont le montant est proportionnel à la part de responsabilité de chacun des acteurs.

Cette décision va, à n’en pas douter, rebattre les cartes dans les rapports responsable de traitement / sous-traitant. Ainsi, des changements vont pouvoir s’opérer en matière de négociation contractuelle. En tant que responsable de traitement il faudra penser à intégrer des clauses qui engagent le sous-traitant à être force de proposition dans les mesures techniques et organisationnelles mises en place. Il faudra également négocier sur la prise en charge des frais de l’audit. En effet, le sous-traitant pouvant désormais être sanctionné, sa participation aux frais d’un audit de conformité est d’autant plus justifiée.

Des changements vont également s’opérer en matière de documentation. Le sous-traitant doit tenir une documentation précise et complète concernant les mesures de sécurité qu’il met en place. Ainsi, des clauses contractuelles devront en prévoir la tenue ainsi que les modalités de rédaction.

Ce qu'il faut retenir de la décision de la CNIL :

  • Le sous-traitant doit être un acteur proactif des traitements qu’il réalise pour le compte de ses clients ;
  • Le sous-traitant qui viendrait à contrevenir aux instructions documentées du responsable de traitement pourra être sanctionné plus gravement que ce dernier ;
  • Le responsable de traitement a désormais une marge plus grande de négociation quant aux clauses « RGPD » ;
  • Le responsable de traitement n’est pas pour autant libéré de son obligation d’auditer la conformité de ses sous-traitants.

En tant qu’entreprise, vous êtes responsable de vos traitements mais également sous-traitant de données à caractère personnel lorsque vous proposez vos services. 

myDigitplace vous accompagne dans la mise en conformité de votre activité mais également dans l’audit de la conformité de vos sous-traitants.


Voir la décision de la CNIL
myDigitplace

Informations légales

Nos engagements

Recrutement

Rejoignez l’équipe dès maintenant en envoyant votre candidature ici.

Newsletter

Champs obligatoires *

Tester son établissement : Les consentement légaux

Ce formulaire s’adresse uniquement aux entreprises et entre dans le cadre d’une relation B2B. Les informations recueillies à partir de ce formulaire sont nécessaires à l’évaluation de la conformité de votre entreprise ainsi qu’à l’envoi des résultats obtenus à ce test. Ces données sont destinées à un usage exclusivement interne.

La base juridique de ce traitement est un fondement contractuel que constitue lla fourniture d’un service gratuit d’évaluation de votre niveau de conformité

Vos données ne sont ni vendues, ni échangées, ni transférées en dehors de l’Union Européenne.
Vos données sont conservées en base active jusqu’à l’envoi des résultats à ce test.

Elles sont ensuite conservées pendant 3 ans afin de vous proposer des solutions de mise en conformité adaptées aux besoins identifiés. Ce traitement repose sur notre intérêt légitime. Le cas échéant, vous aurez la possibilité de vous opposer à ce traitement en vous opposant à ce que vos informations de contact soient conservées dans notre liste de diffusion.

Conformément à la Loi Informatique et Liberté de n°78-17 du 6 janvier 1978 modifiée, au Règlement (UE) 2016/679 et à la Loi pour une République numérique du 7 octobre 2016, vous disposez du droit d’accès, de rectification, de limitation, d’opposition, de suppression, du droit à la portabilité de vos données et de transmettre des directives sur leur sort en cas de décès.


Vous pouvez exercer ces droits en adressant un mail à dpo@mydigitplace.com.

Vous avez la possibilité de former une réclamation auprès de la CNIL à l’adresse : www.cnil.fr.

 En cochant cette case j’affirme avoir lu et accepté votre politique de confidentialité.

Inscription à la newsletters : les mentions d’informations RGPD

Ce formulaire s’adresse uniquement aux entreprises et entre dans le cadre d’une relation B2B. Les informations recueillies à partir de ce formulaire sont nécessaires à la fourniture d’un service de Newsletter. Ces données sont destinées à un usage exclusivement interne.

La base juridique de ce traitement est un fondement contractuel que constitue la fourniture d’un service gratuit d’envoi d’informations spécialisées sur le RGPD et la cybersécurité.

Vos données ne sont ni vendues, ni échangées, ni transférées en dehors de l’Union Européenne.
Vos données sont conservées en base active jusqu’à votre désabonnement de notre Newsletter.

Elles sont également conservées pendant 3 ans afin que nous puissions vous communiquer nos offres commerciales. Ce traitement repose sur notre intérêt légitime. Le cas échéant, vous aurez la possibilité de vous opposer à ce traitement en vous opposant à ce que vos informations de contact soient conservées dans notre liste de diffusion.

Notre prestataire d’e-mailing nous communique des statistiques d’ouverture des courriers électroniques. Ces informations peuvent être traitées par nos services afin d’améliorer la sécurité de nos services.

Conformément à la Loi Informatique et Liberté de n°78-17 du 6 janvier 1978 modifiée, au Règlement (UE) 2016/679 et à la Loi pour une République numérique du 7 octobre 2016, vous disposez du droit d’accès, de rectification, de limitation, d’opposition, de suppression, du droit à la portabilité de vos données et de transmettre des directives sur leur sort en cas de décès.

Vous pouvez exercer ces droits en adressant un mail à dpo@mydigitplace.com.

Vous avez la possibilité de former une réclamation auprès de la CNIL à l’adresse : www.cnil.fr.