CE, 30 déc. 2015, Obligation pour un responsable de traitement de s’assurer de la sécurité des données personnelles gérées par un sous-traitant
Dans cette décision du 30 décembre 2015, le Conseil d'État confirme une délibération de la CNIL ayant prononcé un avertissement public contre la société Orange confirmant ainsi l'obligation du responsable de traitement de données à caractères personnelles de prendre des mesures positives afin de s'assurer que les données confiées à un sous-traitant soient sécurisées.
Conseil d’Etat, 30 décembre 2015, n° 385019
Une intrusion illicite sur le serveur d’une société sous-traitante d’un prestataire d’Orange a permis d’accéder aux données personnelles de plus d’un million de clients et prospects de l’opérateur.
Conformément à l’obligation qui lui est faite par l’article 34 bis de la loi « Informatique et Libertés », Orange a notifié l’incident à la CNIL, qui a alors décidé d’opérer une mission de contrôle à l’issue de laquelle un avertissement public a été prononcé à son encontre, pour manquement à l’obligation de prendre toutes les précautions utiles pour préserver la sécurité des données.
Attaquée sur plusieurs points procéduraux (en relation notamment au droit de ne pas contribuer à sa propre incrimination), tous rejetés, la décision retiendra surtout l’attention concernant les mesures à prendre pour assurer la sécurité des données sous-traitées.
Le Conseil d’État souligne dans un premier temps que « la seule mention, dans le contrat liant la société Orange à son prestataire […] d’une obligation de sécurité mise à la charge de [ce dernier] et de ses sous-traitants ne dispensait pas la société Orange de prendre des mesures destinées à s’assurer elle-même que la sécurité de ses données était préservée ».
Or, l’opérateur n’a pas pris les mesures lui permettant de s’assurer lui-même de cette sécurité :
- En n’ayant pas fait procéder à un audit de sécurité sur l’application qui avait été spécialement définie pour la prospection commerciale de ses clients ;
- En n’ayant pas utilisé des moyens de communication sécurisés pour transférer à ses prestataires des données à caractère personnel ;
- En n’ayant pas veillé à ce que les consignes de sécurité prévues contractuellement avec son prestataire soient portées à la connaissance du prestataire secondaire.
Ainsi, en raison du caractère personnel des données qui ont fait l’objet d’un accès illicite et du nombre important des personnes concernées, le Conseil d’État a estimé que la CNIL avait pu à bon droit estimer que la société Orange avait méconnu les obligations de sécurité mises à sa charge.
Orange avançait enfin que la sanction était disproportionnée, l’atteinte n’ayant pas concerné des données sensibles. Malgré cet argument, le Conseil d’État a validé l’approche pragmatique de la CNIL qui avait choisi une telle sanction eu égard à la nature des violations, mais également aux moyens humains et financiers dont disposait Orange pour les prévenir.
En définitive, cet arrêt rappelle que la responsabilité d’un traitement n’est pas transférée en même temps que la transmission du contrôle technique dudit traitement et que le responsable de traitement ne peut pas se retrancher derrière le contrat organisant la sous-traitance pour échapper à ses propres obligations.
Reste à savoir ce qu’il adviendra une fois le règlement européen sur la protection des données personnelles adopté.
En effet, alors que la proposition de règlement (disponible en sa dernière version sur le site du Parlement européen) prévoyait que « le responsable du traitement et le sous-traitant sont libres de définir leurs rôles et tâches respectifs quant au respect des exigences [dudit règlement] », cette possibilité semble avoir disparu du compromis atteint en décembre dernier par les autorités européennes (mis à disposition par Numerama).
On peut donc en conclure que le responsable de traitement, une fois le texte définitif adopté, restera le premier coupable en cas de violation de l’obligation de sécurité, même si la lecture du compromis laisse entrevoir que le sous-traitant sera bien plus impliqué qu’il ne l’est aujourd’hui, notamment en ce qu’un plus grand nombre d’obligations seront directement à sa charge.
Anita Delaage – Avocat