Auteur: Adama DIOUF, Juriste
Article publié également sur le site Village de la justice
Le développement de l’économie numérique et le recours massif aux technologies informatiques qu’il induit impliquent la collecte et le traitement massifs de données. Ce phénomène fait apparaître des acteurs divers intervenant dans le processus de traitement pendant tout le cycle de vie des données.
Ledit processus va notamment de la décision de collecte, de la définition des finalités du traitement, de l’identification et la mise en œuvre des moyens de traitement, de l’adoption des mesures de sécurité, à l’adoption du choix de l’architecture technique.
Toute ces tâches sont en principe du ressort de l’entité en charge de l’activité : le Responsable de traitement. Toutefois, une volonté d’optimisation ou des contraintes liées à un besoin d’externalisation de certaines activités, l’orientation stratégique, la taille de l’organisation ou le besoin de recourir à des solutions de Cloud Computing ont pour conséquence d’engendrer le recours de plus en plus fréquent à de la sous-traitance.
En matière de protection des données personnelles, il s’agit pour un Responsable de traitement, dans le cadre de son activité, de confier un ou plusieurs traitements des données à une autre entité, le Sous-traitant, censé agir pour son compte et selon ses seules instructions.
Après une définition (I) des notions, il sera rappelé les rôles et responsabilités (II) des protagonistes, avant que ne soient abordés tour à tour, l’exigence particulière de conformité (III) du sous-traitant, le formalisme (IV) devant entourer la relation entre les parties, les contrôles a priori (V) et a postériori (VI) qu’exercent le Responsable de traitement sur le Sous-traitant et, enfin, (VII) le pouvoir particulier des grands éditeurs se positionnant en Sous-traitant.
I. Définition
La loi n°2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel consacre, en son article 4, la définition légale de ces deux concepts. Le Responsable de traitement est défini comme : « la personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités » tandis que le Sous-traitant est présenté comme « toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du traitement ».
A la lecture, les deux définitions laissent apparaitre la nature de la relation entre le Responsable de traitement et le Sous-traitant qui s’apparente juridiquement à un mandat [1].
II. Rôle et Responsabilités des Parties
La détermination de la nature de cette relation est essentielle pour délimiter d’une part les rôles et responsabilités de chaque partie ; et d’autre part, d’appliquer à chacune d’elles les exigences légales à sa charge. Cela permet, par ailleurs, d’encadrer plus efficacement leurs relations contractuelles.
Dans la mesure où la décision de collecter et de traiter des données à caractère personnel et d’en déterminer les finalités incombe légalement au Responsable de traitement, celui-ci a la responsabilité première du respect des obligations légales nécessaires à la protection des données personnelles. Cette considération vaut même si les obligations du Responsable de traitement peuvent incomber également au Sous-traitant de la même manière, notamment en ce qui concerne les mesures de sécurité définies par l’article 71 de la loi sus indiquée.
Malgré l’énoncé de cette communauté d’obligations, la loi n’indique pas si les deux parties peuvent être tenues solidairement responsables en cas de manquements auxdites obligations, contrairement au RGPD [2] qui pose clairement le fondement et les conditions de cette responsabilité solidaire.
III. Conformité du Sous-traitant
La règlementation sénégalaise sur la protection des données personnelles encadre la relation de sous-traitance. En effet, conformément aux dispositions de l’article 39 alinéa 1 de la loi, lorsque le Responsable de traitement décide de recourir à un Sous-traitant, il doit d’abord s’assurer que ce dernier apporte les garanties suffisantes. Cette disposition ne précise pas la nature de telles garanties. Mais, compte tenu de l’esprit de protection de la loi, ces garanties doivent permettre d’assurer la sécurité, la confidentialité et l’intégrité des données.
Ce qui, en outre, ressort de cette disposition, c’est qu’il revient au Responsable de traitement de respecter, puis de s’assurer que son Sous-traitant respecte les exigences légales applicables. Cela est d’autant plus important que depuis le 2 mai 2019, à la faveur d’une décision de sa session plénière [3] intervenue le 15 mars 2019 [4], la Commission de Protection des Données personnelles (CDP) [5] assujettit la délivrance des récépissés et autorisations aux Responsables de traitement à la conformité de leurs Sous-traitants. Par Conformité, il est entendu l’accomplissement des formalités préalables [6] auprès de l’autorité de protection.
Cette tâche peut s’avérer ardue pour la CDP, notamment lorsque le Sous-traitant est établi dans un pays tiers. En effet, la vérification de conformité pourrait, dans ces cas, impliquer le recueil de la preuve de conformité auprès de l’Autorité de protection du pays concerné. Or, de manière pratique, ce contrôle peut être hypothétique au moins pour deux raisons. D’une part, lorsque le pays tiers ne dispose pas de législation et d’autorité de protection. D’autre part, lorsque la réglementation applicable obéit à un régime de dispense de formalités comme c’est le cas pour les pays régis par le RGPD.
Cette difficulté contribue à réduire l’efficacité du contrôle de conformité et rallonge les délais de traitement des demandes d’autorisation. Surtout lorsqu’il n’existe aucun mécanisme de coopération entre la CDP et l’autorité du pays tiers.
C’est sans doute l’une des raisons pour lesquelles la CDP s’active et développe un certain leadership dans des cadres et initiatives internationaux favorisant cette coopération. C’est le cas du rôle prépondérant qu’elle joue dans le cadre du Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP) ou de l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP).
C’est également dans cette même logique de coopération que la CDP a signé, en juin 2021, un Protocole d’accord avec la Commission nationale de Contrôle de la Protection des Données Personnelles (CNDP) du Maroc dont deux des axes principaux concernent les transferts de données personnelles entre le Sénégal et le Maroc et la gestion des contrôles des traitements de données personnelles.
IV. Le formalisme Contractuel
En dehors de cette exigence de conformité formelle, la relation entre le Responsable de traitement et son Sous-traitant est autrement encadrée par la loi de 2008 précitée qui prévoit expressément un certain formalisme contractuel. Le Contrat ou l’acte écrit qui lie les Parties aura pour objet, a minima, de préciser le mandat donné au Sous-traitant, de décrire les modalités du traitement et de définir les obligations réciproques des Parties.
Par ailleurs, le Contrat ou l’acte écrit devra nécessairement indiquer que le sous-traitant n’agit que sur la seule instruction du Responsable du traitement. En conséquence, le Sous-traitant ne devrait utiliser les données à d’autres fins que celles prévues au contrat. Autrement dit, il ne doit avoir aucune utilisation pour son propre compte.
A titre d’exemple, plusieurs prestations peuvent faire l’objet d’un Contrat de sous-traitance de traitements de données personnelles : la gestion de la plateforme technique du Responsable de traitement, l’externalisation de la relation client, l’hébergement Cloud auprès d’un éditeur tiers, la gestion de la paie, les sondages et enquêtes de satisfaction, etc.
Dans tous les cas, quel que soit le type de Contrat ou acte écrit, la nature du traitement ou l’identité des parties, il apparait que le Contrat de sous-traitance doit comporter certaines clauses essentielles pour être conforme à la loi.
Nous allons, sans être exhaustif, présenter quelques clauses qui nous semblent incontournables dans un Contrat de sous-traitance lié aux données personnelles et portant notamment sur la description du traitement, les rôles et responsabilités des parties, la confidentialité etc.
D’autres clauses, sans être expressément prévues par la loi, peuvent parfois être nécessaires. Nous les présenterons indifféremment.
Ces deux types de clauses peuvent respectivement permettre d’effectuer d’une part, un contrôle a priori pour s’assurer en amont du respect de certains prérequis juridiques et techniques, et d’autre part, un contrôle a posteriori permettant de vérifier la conformité en cours d’exécution du Contrat.
V. Sur le contrôle a priori du Responsable de traitement
D’abord, la clause décrivant le traitement objet de la prestation sous-traitée. Elle est essentielle en ce sens qu’elle présente de manière détaillée notamment les aspects opérationnels du traitement, les finalités du traitement, les catégories de données traitées, les personnes concernées, les moyens techniques mis en œuvre.
Généralement, dans l’architecture contractuelle, ces aspects peuvent l’objet d’une annexe au Contrat principal. Mais la technique de rédaction reste libre.
Ensuite, concernant la clause relative aux rôles et responsabilités des parties, il convient d’abord d’établir une matrice de responsabilité claire et facile à décliner sur le plan opérationnel. Elle permet de dire qui s’occupe de quoi durant tout le processus de traitement : de la collecte à la suppression en passant par l’exploitation, l’enregistrement, l’organisation, la transmission à des tiers, la conservation, l’anonymisation, la pseudonymisation, le transfert éventuel, etc.
Cette démarche permet d’affiner les obligations contractuelles du Sous-traitant en fonction des tâches qui lui sont assignées. Ces obligations devront être rédigées avec un soin particulier car elles conditionnent l’exécution conforme des prestations et fondent toute action ou recours du Responsable de traitement contre son co-contractant pour d’éventuels manquements. Elles concernent essentiellement les obligations du Sous-traitant d’assurer les prestations en garantissant la confidentialité, d’adopter les mesures adéquates pour assurer la sécurité et l’intégrité des données.
A l’évidence, une clause de confidentialité apparait comme l’une des plus importantes du Contrat de Sous-traitance car tout traitement doit se faire de manière confidentielle. Seules doivent accéder aux données, les personnes autorisées en raison de leur fonction et de leur rôle dans l’exécution des prestations. De plus, l’article 70 de loi de 2008 qui exige le choix de personnes présentant, au regard de la préservation de la confidentialité des données, toutes les garanties tant de connaissances techniques et juridiques que d’intégrité personnelle. Ces personnes devant même signer, individuellement, un engagement de confidentialité.
Enfin, dans le cas où le Responsable de traitement n’est pas un professionnel en mesure d’appréhender tous les enjeux techniques de l’opération externalisée, il est utile d’insérer une clause d’assistance, d’alerte et de conseil à la charge du Sous-traitant. Elle permet au Responsable de traitement de bénéficier en amont et durant l’exécution du Contrat, des conseils initiés du Sous-traitant sur la pertinence de ses instructions, la cohérence des moyens employés avec finalités visées, les avancées technologiques et les évolutions des règles de l’art relativement aux prestations, la coopération en cas de demandes des autorités et toute autre question sur laquelle il dispose d’une expertise propre utile au Contrat. Le sous-traitant s’engage, en particulier, à alerter le responsable de traitement s’il estime que l’une de ses instructions constitue un manquement à l’une de ses obligations essentielles.
VI. Le contrôle a posteriori du Responsable de traitement
Par ailleurs, la confiance n’excluant pas le contrôle, prévoir une clause d’audit dans le Contrat de sous-traitance nous semble primordial. En effet, au-delà de son caractère préventif voire dissuasif à l’égard du Sous-traitant, elle peut permettre au Responsable de traitement de vérifier les conditions de fourniture des prestations par le Sous-traitant et, de manière générale, que le respect des exigences légales et des obligations contractuelles à sa charge est bien assuré.
Cet audit général peut, dans certains cas, s’accompagner d’audits techniques de sécurité avec des scans, tests de vulnérabilités, tests d’intrusion, audits d’infrastructure, etc. Cependant, ce droit de regard n’est pas absolu. Il devra être strictement encadré notamment par l’exigence d’une information préalable, la détermination de la périodicité, le recours éventuel à un auditeur tiers et la délimitation du périmètre audité.
Par ailleurs, lorsque la sous-traitance implique le transfert et/ou l’hébergement de données personnelles dans l’infrastructure du Prestataire, il est essentiel d’insérer une clause de réversibilité et de prévoir dans le Contrat les modalités de sa mise en œuvre. La réversibilité intervient en principe à la fin du Contrat quelle qu’en soit la cause (résiliation anticipée, arrivée du terme contractuel, etc.). Schématiquement, elle permet au Responsable de traitement de s’assurer de la reprise des données ou de leur transfert vers un nouveau Sous-traitant. Dans certains cas, une suppression des données.
Afin d’éviter des blocages au moment de sa mise en œuvre, la clause de réversibilité peut prévoir les modalités techniques de la migration des données ainsi que les coûts additionnels associés. Le processus opérationnel pouvant être défini dans une annexe « Plan de réversibilité ».
Ces différentes clauses nécessitent souvent une bonne négociation contractuelle avec comme objectifs principaux, le respect du formalisme exigé par la loi, la conformité aux principes de protections des données ainsi que la prise en compte des droits des personnes concernées.
VII. Le pouvoir particulier des grands éditeurs
Mais cette négociation n’est pas toujours facile ou possible. C’est le cas pour certains services de grands éditeurs (Google, AWS, Microsoft) régis généralement par des conditions générales sous forme de Contrat d’adhésion. Dans ces cas, il revient au Responsable de traitement de vérifier et s’assurer que les conditions de sécurité offertes l’agréent et qu’elles répondent aux exigences de la loi sénégalaise avant d’y adhérer.
Ces conditions comportent généralement des exigences sécurité assez élevées, offrant un niveau de protection adéquat. Cela dit, l’une des difficultés majeures auxquelles on peut être confronté avec ce type de contrat est qu’il prévoit souvent de fortes clauses limitatives et exonératoires de responsabilité rendant hypothétiques certaines demandes de réparation en cas de préjudice.
Pour se rassurer et rassurer la CDP, en cas de sous-traitance impliquant un transfert dans un pays tiers, un Responsable de traitement sénégalais doit privilégier des éditeurs situés dans un pays de l’Union Européenne ou dans un Etat membre de la Convention 108 [7]. En effet, ces pays sont réputés offrir un niveau adéquat de protection compte tenu des exigences du RGPD et de la Convention qui constituent des standards élevés en matière de protection.
A contrario, pour la CDP, l’hébergement dans un pays n’offrant pas un niveau adéquat peut conduire à un refus d’autorisation. De même, un hébergement aux Etats Unis peut susciter des interrogations du fait de la possibilité d’ingérence des autorités fédérales américaines grâce aux lois de surveillance qui leur confèrent des pouvoirs trop larges, de l’absence de garanties des droits des personnes concernées et du manque de réglementation dans certains Etats.
VIII. Conclusion
In fine, les parties sont libres d’organiser les obligations comme elles le décident - dans le respect de la loi - et de se rapprocher au plus près de la réalité des opérations de traitement.
Compte tenu du niveau de maturation de notre économie numérique et du degré de sensibilisation des entreprises y évoluant, le cadre légal actuel est globalement satisfaisant.
Il s’y rajoute une pratique contractuelle relativement bien sécurisée et comblant certains silences, lacunes ou omissions de la loi.
Comme toujours en droit, la pratique viendra certainement alimenter une future évolution du cadre légal de la protection et clarifier davantage les relations entre responsable de traitement et sous-traitant. En espérant que ce mouvement d’évolution ne clone pas de manière absolue les exigences du RGPD qui sont certes un standard, mais un standard parfois disproportionné au regard des spécificités de notre économie des données.
[1] Le mandat est défini par le COCC comme « un contrat par lequel le mandant donne au mandataire le pouvoir de faire en ses lieu et place un ou plusieurs actes juridiques ».
[2] Le règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données applicable depuis le 25 mai 2018.
[3] La Session est l’organe délibérant de la CDP dont le Règlement intérieur précise, notamment, les règles relatives aux délibérations, à l’instruction et à la présentation des dossiers. Les règles relatives à l’organisation et au fonctionnement de la Commission sont fixées par le décret n° 2008-721 du 30 juin 2008 portant application de la loi n° 2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel.
[4] Communique n° 00007023/CDP du 15 avril 2019.
[5] CDP : Autorité de Protection des données personnelles du Sénégal crées par la loi 2008-12 du 25 janvier 2008 et dont l’activité a démarrée en 2013.
[6] Les formalités préalables sont la demande d’avis, la déclaration simplifiée, la déclaration normale et la demande d’autorisation.
[7] Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Premier instrument international contraignant en matière de données personnelles, adopté en 1981, il est ratifié en 2016 par le Sénégal qui en est devenu le 50ème Etat membre.
Kommentare