Source : Article de la CNIL, du 27 Janvier 2021
Dans une décision du 27 janvier 2021, la CNIL a sanctionné un responsable de traitement et son sous-traitant pour ne pas avoir pris les mesures de sécurité nécessaires et satisfaisantes pour mettre un terme à des attaques répétées sur le site Internet du premier d’entre eux.
Elle sanctionne ici le manque de diligence de ces deux partenaires dont l’inertie a exposé les internautes utilisateurs du site concerné à un risque élevé de violation de leurs données.
Retenant classiquement la faute du responsable de traitement, la CNIL estime en effet qu’il lui appartenait de mettre en place des mesures de sécurité pour lutter contre ces attaques et de donner des instructions à cette fin à son sous-traitant.
Mais, et cette une première, la CNIL reconnait également la responsabilité du sous-traitant à qui il appartenait de rechercher des solutions techniques pour assurer la sécurité des données et de les soumettre, en tant que technicien, au responsable de traitement.
En conséquence, deux amendes sont retenues par la CNIL, respectivement à l’encontre du responsable de traitement, à hauteur de 150.000,00 €uros, et du sous-traitant à hauteur de 75.000,00 €uros, qualifiant pour ce faire le degré de responsabilité de chacune des parties dans la réalisation du traitement des données.
Par cette décision, la CNIL retient pour la première fois la responsabilité du sous-traitant, mettant ici en œuvre les dispositions de l’article 32 du RGPD (Règlement Général sur la Protection des données – Règlement UE n°2016/679 du 27 avril 2016) suivant lesquelles :
« Le responsable du traitement et son sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…). »
Avant l’entrée en vigueur de ce règlement, le responsable de traitement des données ne pouvait transférer ou partager sa responsabilité avec son sous-traitant, puisqu’il lui appartenait seul de décider des finalités et des moyens pour assurer la sécurité des données et d’en contrôler l’application qui en était faite par son partenaire.
En conséquence, il lui appartenait également de répondra des manquements de son sous-traitant.
A rebours de ce principe, le RGPD prévoit donc que le sous-traitant doit également voir sa responsabilité engagée en cas de non-respect de l’obligation de garantir la protection des données personnelles.
Formulé autrement, le sous-traitant, qui endossait jusqu’alors la seule étiquette d’exécutant, devient responsable de ses propres actions réalisées sur un traitement pour le compte d’un responsable de traitement.
La décision de la CNIL met en application ce principe et écarte la possibilité pour tout sous-traitant de s’exonérer de sa responsabilité quant à la mise en œuvre des mesures appropriées pour garantir la protection des données personnelles, notamment en application d’une obligation contractuelle que constitue son devoir de conseil.