Chaque responsable de traitement doit veiller à ce que son sous-traitant et même le sous-traitant de son sous-traitant assure la sécurité des données à caractère personnel qui lui sont confiées. C’est ce qu’a rappelé le Conseil d’Etat dans un arrêt du 30 décembre 2015, en confirmant la sanction infligée par la CNIL à Orange, dans sa délibération du 7 août 2014, en raison d’une faille de sécurité dans le système d’information de son sous-traitant secondaire.

La société Orange en sa qualité de responsable de traitement avait confié à un prestataire la réalisation de campagnes marketing et lui avait à cette occasion transmis ses fichiers clients et prospects. Rappelons que le responsable de traitement est l’entité qui détermine les moyens et les finalités du traitement, en vertu de l’article 3 I de la loi n°78-18 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la « Loi Informatique et Libertés »). Il est, comme son nom l’indique, responsable de la conformité du traitement des données personnelles à la Loi Informatique et Libertés. Quant au prestataire, il revêt la qualité de sous-traitant au sens de l’article 35 de ce texte et agit ainsi sur instruction et sous l’autorité du responsable de traitement.

Dans cette affaire, le sous-traitant avait lui-même fait appel à un prestataire secondaire pour exécuter cette prestation. Ce dernier avait été victime d’une intrusion sur ses serveurs qui avait entraîné une fuite de plus d’un million de données à caractère personnel appartenant à la société Orange.

Conformément aux prévisions de l’article 34 bis de la Loi Informatique et Libertés, Orange a alors notifié cette faille de sécurité à la CNIL et a informé ses clients. A la suite de cette notification, la CNIL a fait procéder à un contrôle dans les locaux d’Orange ainsi que dans ceux des sous-traitants de premier et de second rang. Ce contrôle a révélé plusieurs manquements à la sécurité des données ce qui a valu à Orange un avertissement de la CNIL rendu public par délibération du 7 août 2014.

Le Conseil d’Etat confirme cet avertissement en rappelant, en premier lieu, l’obligation de sécurité du responsable de traitement prévue à l’article 34 de la Loi Informatique et Libertés : celui-ci « est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. ». Il réaffirme, en second lieu, que cette obligation perdure bien que les données aient été transmises à un sous-traitant. Il relève, en l’espèce, que même si la société Orange avait contracté une obligation de sécurité des données avec son prestataire de premier rang, elle n’avait ni fait d’audit de sécurité sur l’application développée par le prestataire secondaire pour son compte ni pris de mesures permettant de s’assurer du respect de l’obligation de sécurité dans la relation entre prestataire de premier rang et prestataire secondaire. La Haute juridiction note également que la société Orange n’avait pas utilisé de moyens de communication sécurisés pour transmettre ses fichiers clients à ses sous-traitants. Elle en conclut que la société Orange a manqué à son obligation de sécurité.

La sécurité des données à caractère personnel est aujourd’hui un enjeu majeur qui fait peser de lourdes obligations sur le responsable de traitement, surtout en cas de sous-traitance. L’obligation de sécurité sera d’ailleurs très nettement renforcée par le projet de règlement européen relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (devant entrer en vigueur en 2018) qui instaure notamment le principe de Privacy By Design. Dans ce contexte, il ne peut qu’être conseillé aux responsables de traitements d’encadrer strictement leurs relations avec leurs sous-traitants.

Prudence Cadio, avocat en droit de la Propriété Intellectuelle et des Nouvelles Technologies.

Données personnelles : faille de sécurité chez un sous-traitant, vous êtes responsable – Analyse juridique parue dans le magazine Option finance le 21 mars 2016