Violation RGPD : à qui incombe la responsabilité ?

Violation RGPD : à qui incombe la responsabilité ?
Article RGPD

Le 27 janvier 2021, la CNIL publie un article pour évoquer deux éléments de violation RGPD :

  • Les risques liés aux attaques de type « credential stuffing» ;
  • Deux sanctions à l’encontre d’un responsable de traitements et de son sous-traitant

 Nous n’évoquerons pas le premier point mais nous vous invitons cependant à consulter l’article de la CNIL à ce sujet : https://www.cnil.fr/fr/la-violation-du-trimestre-attaque-par-credential-stuffing-sur-un-site-web

Quelles sanctions à l’encontre d’un responsable de traitement de son sous-traitant ?

 Nous nous intéresserons plutôt aux sanctions à l’encontre d’un responsable de traitements et de son sous-traitant.

Pourquoi ? Parce que la majorité des sanctions prononcées auparavant – et également celles avant l’entrée en vigueur du RGPD – ne concernaient en général qu’un acteur : soit le responsable de traitements soit le sous-traitant.

 Le RGPD a changé la donne puisque désormais, responsables de traitements et sous-traitants supportent chacun leurs propres devoirs et obligations. Ils peuvent être sanctionnés les uns comme les autres, dès lors que leur responsabilité est engagée.

 Revenons brièvement sur les faits :

  • Une violation de données à caractère personnel a touché un site internet dont la gestion avait été confiée à un sous-traitant.
  • Cette violation a duré plus d’un an – entre juin 2018 et janvier 2020 – et a fait l’objet de nombreuses plaintes auprès de la CNIL, poussant cette dernière à contrôler responsable de traitements et sous-traitant.
  • Malgré un travail en commun du responsable de traitement et du sous-traitant pour mettre en place des mesures correctives, les deux acteurs ont tout de même été sanctionnés. Car au lieu de choisir des corrections rapides et efficaces, ils ont préféré travailler sur le développement d’un outil qui a pris plus d’un an. Durée pendant laquelle la violation a perduré.

 En bref, la CNIL sanctionne autant un manque de diligence quant à la résolution de la violation, qu’un défaut de sécurité. Ces éléments étant imputables aux deux organismes, la CNIL a prononcé deux sanctions distinctes : 150 000€ d’amende pour le responsable de traitements et 75 000€ d’amende pour le sous-traitant.

Pourquoi cette sanction a-t-elle retenu notre attention ?

  • Elle nous rappelle la nécessité de gérer les violations de données rapidement et efficacement : l’objectif est de trouver une solution rapide qui empêchera la violation de continuer de produire ses effets et de se répéter ;
  • Mais elle nous rappelle également, la nécessité d’encadrer correctement nos relations entre responsable de traitements et sous-traitant. Notamment pour déterminer les mesures requises en matière de sécurité des traitements.

 Sur ce dernier point, rappelons que sous-traitant et responsable de traitements doivent être liés par un contrat, écrit ou sous forme électronique, dont le contenu a été précisé à l’article 28 du RGPD.

 De plus, il est essentiel que le responsable de traitements précise dans ce contrat ses besoins en matière de sécurité : cela implique de devoir les déterminer en amont du traitement avant de les imposer à son sous-traitant ! Mais cela implique aussi que le responsable de traitements doit s’assurer que le sous-traitant pourra respecter ses besoins de sécurité !

Par ailleurs, la CNIL rappelle que cette obligation de sécurité repose également sur le sous-traitant : ce dernier doit également rechercher les mesures de sécurité techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles.

A défaut de ces vérifications ou d’exigences précises en matière de sécurité, le risque de violation de données à caractère personnel existe bel et bien ! Et avec lui un risque de sanction pour les responsables de traitements et les sous-traitants !

 Et vous ? Comment encadrez-vous vos relations responsables de traitements / sous-traitants ?

 Pour en savoir plus sur la sanction de la CNIL : https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant

Notre formation RGPD liée à la sous-traitance

 RGPD et ses impacts sur la sous-traitance – RGPD Academy 

Partager l'article

Articles similaires

L’aide « FNE Formation Renforcé »
Article RGPD

L’aide « FNE Formation Renforcé »

« FNE Formation Renforcé » est un dispositif permettant de venir en aide aux entreprises touchées par la crise sanitaire.
Lire la suite
Les bonnes pratiques RGPD
Article RGPD

Les bonnes pratiques RGPD

Les bonnes pratiques RGPD ne sont pas toujours instinctif pour tout les collaborateurs, c'est pourquoi il est important des les sensibiliser.
Lire la suite