Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 102

doctrine
accès ». Il appartiendra alors à l'entreprise
de veiller à ce que le sous-traitant (ainsi
que tout éventuel prestataire secondaire)
présente de telles garanties, sous peine de
se voir sanctionnée par la Cnil en cas de
violation de données à caractère personnel,
comme cela a déjà pu être le cas, notamment pour la société Orange (Délibération
de la formation restreinte n°2014-298 du
7 août 2014 prononçant un avertissement
à l'encontre de la société Orange confirmée par un arrêt du Conseil d'Etat du
30 décembre 2015 n°385019).
En effet, la ligne de défense adoptée par
Orange, consistant à soutenir que « la faille
de sécurité serait liée aux risques inhérents
à une chaîne de sous-traitance » n'a pas
convaincu la Cnil qui a considéré que la
société Orange avait violé les dispositions de
l'article 34 de la loi n°78-17 du 6 janvier 1978
précitée dès lors qu'elle « n'a pas fait réaliser
d'audit de sécurité sur la version de l'application technique spécifiquement développée par son prestataire secondaire pour
répondre à ses besoins, qu'elle communiquait de manière non sécurisée les mises à
jour de ses fichiers clients à des prestataires
et qu'aucune clause de sécurité et de confidentialité des données n'était imposée à son
prestataire secondaire ».
Cette délibération illustre le fait, comme le
relevait la Cnil en 2012, que de nombreuses
entreprises « ne peuvent pas réellement
contrôler l'effectivité des garanties de
sécurité et de confidentialité apportées
par les prestataires » et ce alors même
que leur responsabilité de « data controller » persiste. C'est ainsi que la Cnil avait
considéré que « dans de telles situations,
le prestataire pourrait a priori être considéré comme conjointement responsable
en vertu de la définition de « responsable
de traitement » fournie à l'article 2 de la
directive 95/46/CE, puisqu'il participe à la
détermination des finalités et des moyens
des traitements de données à caractère
personnel » (Recommandations de la Cnil
pour les entreprises qui envisagent de souscrire à des services de Cloud Computing,
25 juin 2012).
Le Règlement général sur la protection des données entré en vigueur le
27 avril 2016 (applicable à compter du
25 mai 2018) semble résoudre, pour partie,
le déséquilibre existant entre les obligations
des « data controller » et celles des « data
processor ». Ainsi, le Règlement renforce
considérablement les obligations mises à la

102

charge de ces sous-traitants qu'il incite par
ailleurs à « prendre en compte le droit à la
protection des données lors de l'élaboration
et de la conception de tels produits, services
et applications (...) », tout en envisageant
expressément la possibilité d'un partage
de responsabilités avec le responsable de
traitement.
Outre le fait que les sous-traitants
doivent « présenter des garanties suffisantes
quant à la mise en œuvre de mesures techniques et organisationnelles appropriées »,
ces derniers devront par ailleurs répondre
à des obligations plus spécifiques, énumérées à l'article 28 du Règlement et consistant
notamment à:
■ prendre les mesures requises à l'article
32 du Règlement relatives à la sécurité
du traitement,
■ aider le responsable de traitement
à garantir le respect des obligations
prévues aux articles 32 à 36, c'està-dire : la sécurité du traitement, les
notifications à l'autorité de contrôle de
toute violation de données à caractère
personnel, la communication de cette
violation à la personne concernée, les
analyses d'impact et la consultation
préalable de l'autorité de contrôle en
cas d'analyse d'impact révélant un
risque élevé si le responsable de traitement ne prenait pas de mesures pour
atténuer le risque.
L'obligation de conseil du sous-traitant se
trouve ainsi considérablement renforcée.
Il est désormais considéré comme un prestataire disposant d'une expertise certaine
dans son domaine. Les modalités d'exécution de ces obligations devront être régies
par un contrat liant le responsable de traitement au sous-traitant, « en tenant compte
des tâches et responsabilités spécifiques du
sous-traitant dans le cadre du traitement à
effectuer et du risque pour les droits et libertés de la personne concernée » (considérant
n°81 du Règlement).
Ainsi, outre la responsabilité contractuelle qu'engage le sous-traitant envers le
responsable de traitement avec lequel il
a contracté, le Règlement parvient à rétablir un certain équilibre entre ces derniers
protagonistes en prévoyant que le sous-traitant est directement responsable vis-à-vis
des personnes concernées s'agissant des
obligations qui lui « [incombe] spécifiquement » ou encore lorsqu'il a « agi en dehors
des instructions licites du responsable de

EXPERTISES MARS 2017

traitement ou contrairement à celles-ci » (art.
82 du Règlement). Le sous-traitant encourra
alors les mêmes sanctions que le responsable de traitement s'agissant en particulier
des amendes administratives prévues par
l'article 83 du Règlement.
Manifestement, il apparaît que l'environnement à la fois technique et juridique dans
lequel les responsables et les prestataires
informatiques évoluent est de plus en plus
complexe et donc source d'obligations et de
responsabilités croissantes et en constante
évolution.
Les entreprises, faute de moyens, ne
disposent pas toutes en interne de compétences nécessaires pour faire face aux
besoins de plus en plus importants en termes
de sécurité informatique face aux cyberrisques. Les RSSI et DSI ne sont pas toujours
présents au sein de toutes les entreprises.
Beaucoup d'entre elles peuvent même
avoir recours à des prestataires extérieurs
d'un nouveau genre pour tester les failles et
mener des études d'impact à moindre coût.
Le recours au « Bug Bounty » ou « marché
de la sécurité « crowdsourcée » » n'est pas
sans soulever certaines interrogations.
En tout état de cause, il est impératif qu'un
encadrement contractuel rappelle clairement les obligations légales et les règles à
n'outrepasser à aucun prix, dans l'attente de
l'instauration d'une éthique par les acteurs
du marché eux-mêmes. Anciens lanceurs
d'alerte parfois même hackers repentis,
ils peuvent mettre leurs compétences au
service de la sécurité de l'entreprise mais
dans le cadre d'un contrat établissant clairement l'étendue de leur mission ainsi que
les moyens légaux dont ils disposent.
A n'en pas douter, le recours à cette nouvelle
catégorie de prestataires informatiques ne
manquera pas de donner lieu à l'avenir à
de nombreuses jurisprudences. Les critères
de responsabilité évoqués dans le présent
article pourront alors servir de grille d'analyse pour mieux appréhender le statut et
les limites de la mission de ces nouveaux
acteurs de la sécurité sur Internet.

Corinne THIÉRACHE
Associé, Cabinet ALERION
Avocat au Barreau de Paris

Laura RAIMONDO
Avocat au Barreau de Paris
Cabinet ALERION
Notes
(1) Agence nationale de la sécurité des systèmes
d'information



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422

Couverture
Editorial & Sommaire
MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
DOCTRINE
SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 84
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 85
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 86
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 87
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 88
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 89
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 90
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 92
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 93
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 94
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 95
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 97
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 98
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 99
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 100
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 101
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 102
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 104
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 105
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 106
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 107
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 109
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 110
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 111
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 112
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 114
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 115
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 117
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 118
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 120
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com