Décision de l’autorité norvégienne de protection des données à propos d’un transfert de données vers un pays tiers à l’UE (CHINE)
L’autorité norvégienne de protection des données a rendu une décision le 27/09/2021 à l’encontre d’une entreprise de péage qui transférait à un sous-traitant établi en Chine des plaques d’immatriculation d’automobiles afin de facturer automatiquement leur passage aux péages.
Ces plaques d’immatriculation, qui permettent indirectement d’identifier le conducteur/le propriétaire de la voiture, sont des données personnelles. L’autorité a estimé que l’entreprise a violé plusieurs principes fondamentaux prévus par le RGPD et l’a condamné à 500 000 euros d’amendes.
L’autorité rappelle que le responsable de traitement doit s’assurer en amont que les sous-traitants qu’il choisit offrent « les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Le responsable de traitement doit réaliser une évaluation du niveau de sécurité de son sous-traitant, préalablement à la signature du contrat avec le prestataire sous-traitant de données personnelles. Sans ces évaluations préalables, l’entreprise ne peut évaluer correctement si le prestataire est fiable ou non.
Suite à cette évaluation des mesures de sécurité, il est impératif de signer un accord écrit, préalable à la mise en œuvre de la prestation (article 28 RGPD). L’entreprise Ferde n’a régularisé cet accord de sous-traitance qu’après une période de 2 ans d’exécution du contrat : cela a été considérée comme une circonstance aggravante par l’autorité norvégienne. On aurait pu penser que la régularisation, même tardive, aurait été considérée comme une circonstance d’allègement de l’amende.
Enfin, l’autorité de contrôle souligne qu’une évaluation des risques associés au transfert hors UE (indépendante de l’évaluation de la sécurité du sous-traitant) ainsi que le choix d’une base légale de transfert (article 44 et suivants du RGPD) doivent être documentés.
Cette décision permet d’illustrer l’importance de l’évaluation de la sécurité des sous-traitants en amont de la mise en place des contrats qui doivent contenir des clauses types de sous-traitance de données (il s’agit désormais des clauses types de la commission européenne du 4 Juin 2021), particulièrement dans un contexte de transfert de données hors de l’Union Européenne, et d’autant plus en Chine, dans un pays non reconnu comme offrant un niveau de protection adéquat : une analyse de risque devait être conduite, documentée et datée.