La protection des données et l’achat de services en lignes par les organismes de droit public
Tout biens ou services acheté par un organisme de droit public est soumis aux règles des «marchés publics»[1]. La protection des données s´applique, quant à elle, à tout traitement de données à caractère personnel, et pose notamment des règles aux sujets de la sous-traitance de traitements de données à caractère personnel. L´achat de services pour le traitement de données à caractère personnel tombe ainsi dans le champ d´application des deux régimes. Toutefois aucun des textes en vigueur ne prend explicitement en compte les règles du voisin. Cette courte contribution a pour objectif de discuter de la problématique du «xxx-as-a-Service» et de proposer des bonnes pratiques (principalement européennes et allemandes) pour une meilleure prise en compte des règles de protection des données lors de sélection et de contractualisation, et de l´implémentation par des entités publiques. Les bonnes pratiques répertoriées peuvent également être utilisées par les organisations régies par le droit privé malgré l´absence de contraintes réglementaires générales lors d´achat de biens et de services. Chloë Lellinger, Data Protection Office au LISER, nous en dit plus.
L’achat de prestations de services est monnaie courante pour le fonctionnement d’une organisation publique. Que ce soit l’externalisation d’un service ou des prestations d’expertise, les services achetés concernent régulièrement le traitement de données à caractère personnel. Alors que les organisations publiques sont organisées pour respecter les règles issues du droit des marchés publics, les critères de sélection des prestataires conformément à la protection des données pourraient profiter d´un peu de plus de sensibilisation spécifique[2]. La plus grande difficulté pour l’acheteur réside dans l’asymétrie entre le montant du marché et le risque du traitement concerné par le service. Une prestation de service en ligne peu onéreuse peut impliquer le traitement d’un volume élevé de données à caractère personnel éventuellement sensibles, alors qu’un marché public de service dépassant les seuils de publication à niveau européen peut ne concerner aucun traitement de données à caractère personnel. La présente contribution discute le cas des achats de services en ligne («xxx-as-a-Service») ou la malédiction de «celui qui peut le plus, peut le moins» dans le cloud. Dans ce cas de figure, le prestataire de service met à disposition de l’acheteur-Responsable de traitement un logiciel, une plateforme ou une infrastructure en ligne. Ainsi ce type d’achat de services cumule la sous-traitance – a minima de l’hébergement de données à caractère personnel, l’obligation de l’acheteur-Responsable du traitement de paramétrer ou de développer le logiciel conformément au principe de protection des données par défaut[3]. Il ne faut pas non plus oublier l’éventualité dans laquelle l’hébergement des données à caractère personnel est réalisé en dehors de l’Union européenne, ce qui impliquera un transfert de données vers un pays tiers, nécessitant l’implémentation d’un des mécanismes de transfert en vigueur[4].
L’acheteur interne peut mettre en œuvre les quelques recommandations suivantes afin de se conformer aux règles relatives à la protection des données lors de la sélection du sous-traitant:[5] identifier le processus dans lequel est intégré la future prestation de services et s’informer sur la criticité en termes de protection des données (par exemple auprès du responsable du processus); impliquer dans le processus d’achat et au moins dans la rédaction du cahier des charges une ou plusieurs personnes capables d’identifier des standards ou exigences minimales en matière de sécurité de l’information (vivement recommandé par l’ENISA) et par extension en termes de protection des données[6]; introduire des conditions d’éligibilité relatives à la protection des données pour sélectionner le futur sous-traitant, avec notamment les conditions règlementaires telles que «est-ce que le prestataire a désigné un délégué à la protection des données?»; introduire un formulaire de déclaration des mesures techniques et organisationnelles mises en place par le candidat[7]. Il peut être nécessaire de développer des formulaires spécifiques (IaaS, PaaS ou SaaS)[8] et d’introduire une clause relative à la sous-traitance de traitement de données à caractère personnel dans le contrat.
En outre, indépendamment du processus d’achat, dans le cadre de l´implémentation de Software-as-a-Service, le paramétrage du logiciel est une phase critique qui implique la prise en compte des exigences de protection des données dès la conception. À cet effet, le configurateur est la personne clé et devrait justifier d’une bonne compréhension de la protection des données par exemple à travers le suivi d’une formation en la matière au cours de l’année. Dans le cadre de Software-as-a-Service, il est courant de choisir des éditeurs reconnus mondialement, puisque «celui qui peut le plus, peut le moins». Il repose sur le configurateur d’identifier les paramètres intrusifs pouvant aller à l’encontre de la protection des données dès la conception. Un exemple courant est l’ajout de fonctionnalités dites «GDPR compliant», permettant de facto la surveillance des employés (c’est-à-dire fonctionnalité d’audit poussé). L’implémentation de ces outils standards impose aux petites et moyennes organisations un effort d’organisation et de documentation, pour se conformer aux règles de protection des données européennes, rarement envisageable. Dans le cas des fonctionnalités d’audit, son utilisation peut encadrer par autorisation de la direction, en mettant en place un principe des quatre yeux lors de l’exécution. Ces garanties doivent éviter un abus dans la surveillance des employés. Finalement, il convient d’informer les personnes concernées (par exemple employés, clients ou participants de recherche) du nouveau destinataire de leurs données à caractère personnel conformément au principe de transparence et au droit à l’information découlant des règlementations sur la protection des données à travers la politique de protection des données[9].
En conclusion, les organisations publiques sont théoriquement bien équipées, grâce aux règles de marchés publics, pour respecter l’obligation de sélection des prestataires de traitement de données à caractère personnel. Toutefois les achats de services en ligne sont à l’intersection de plusieurs normes, qu’elles soient juridiques ou techniques, il y règne un besoin d’interdisciplinarité. Ce challenge ne peut être pleinement dépassé si toutes les exigences reposent sur une seule et même personne – l’acheteur interne. Le rôle d’acheteur prend alors une autre dimension et se rapproche d’un rôle de coordinateur d’experts pour la sélection du meilleur candidat en fonction du besoin interne défini. Dans une seconde étape, le rôle du configurateur est crucial pour une implémentation en pleine conscience des exigences de protection des données.
_____________________________________
[1] Loi du 8 avril 2018 sur les marchés publics. https://legilux.public.lu/eli/etat/leg/loi/2018/04/08/a243/jo.
[2] Article 28 al. 1 du règlement (UE) 2016/679 «lorsqu´un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes … de manière à ce que le traitement réponde aux exigences du présent règlement…».
[3] Article 25 al. 1 du règlement précité «…le responsable met en œuvre, tant au moment de la détermination des moyens du traitement qu´au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées…».
[4] Chapitre 4 du règlement précité.
[5] Dans le même sens, Gabel/Lutz, dans: Taeger/Gabel, DSGVO – BEDSG – TTDSG, 2022, Rn. 27.
[6] ENISA, Procurement Guidelines for Cybersecurity in Hospitals, https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services.
[7] European Data Protection Supervisor, Guidelines on the protection of personal data in IT Governance and IT management of EU Institutions. p. 27. https://edps.europa.eu/sites/default/files/publication/it_governance_management_en.pdf.
[8] Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 2.0 Stand 2014. https://www.datenschutzkonferenz-online.de/media/oh/20141009_oh_cloud_computing.pdf.
[9] Il ne sera ici pas l’objet de détailler les contraintes posées dans le cadre des transferts de données vers des pays tiers.