Votre Contrat de Traitement de Données - Est-il conforme au RGPD ?
Déjà six mois que le Règlement Général sur la Protection des Données est parmi nous ! Il a déjà fait son petit bonhomme de chemin, mais plusieurs questions semblent demeurer pour les responsables de traitement, notamment les nouvelles obligations concernant les sous-traitants dans les contrats de traitement de données !
La question des obligations essentielles des sous-traitants est évoquée à l’article 28 du Règlement Général sur la Protection des Données ("RGPD") [1].
En effet, les sous-traitants (ou "Data Processors" en anglais) ont un rôle clef. Toute entreprise a de nos jours recours aux sous-traitants. Il est donc normal pour eux qu’il y ait un peu plus de transparence de leur côté, notamment lorsque l’on sait qu’ils peuvent être amenés, sous certaines conditions, à avoir une responsabilité conjointe avec le responsable de traitement (le "Data Controller") [2].
C’est dans ce sens que, lorsque le responsable de traitement fait appel à des sous-traitants, des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées soient demandées [3].
Pourquoi ? Parce que le responsable de traitement doit s’assurer de la qualité des traitements, et surtout de leur sécurité ! C’est pourquoi, lorsqu’il engage un sous-traitant, il doit être sûr que celui-ci entreprenne le traitement de manière sûre, mais également que les sous-traitants que ce dernier engage avec son autorisation le fassent également.
De ce fait, le sous-traitant va avoir un certain nombre d’informations à fournir et d’obligations à suivre afin que le responsable de traitement soit certain des garanties mises en place par le sous-traitant. Le contrat (ou tout autre acte juridique au titre du droit de l’Union ou d’un Etat Membre) qui va lier le responsable de traitement au sous-traitant se voit donc enrichi de plusieurs clauses, du plus général au plus spécifique. Ce contrat (souvent connu sous son sigle anglais : "Data Processing Agreement" ou "DPA") est essentiel !
Il est notamment rappelé que le sous-traitant n’agit que sur instruction documentée du responsable de traitement, qu’il s’engage à respecter la confidentialité des données à caractère personnel traitées, de prendre les fameuses mesures requises en vertu de l’article 32 du RPGD (qui prévoit notamment la possibilité d’opérer à une pseudonymisation ou à une anonymisation des données), et, plus généralement le sous-traitant va assister et avoir une obligation de conseil envers le responsable de traitement dans ses traitements.
Cette assistance va également se caractériser si une violation du RGPD est opérée par le responsable de traitement : le sous-traitant se doit de l’informer immédiatement !
Ces obligations s’appliquent également lorsque le sous-traitant va prendre lui même d’autres sous-traitants pour effectuer les traitements, puisqu’un acte juridique va être nécessaire pour établir toutes les obligations demandées par l’article 28 du RGPD, ainsi que les fameuses garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées. Ces dernières peuvent être par exemple prouvées par l’établissement d’un Code de conduite approuvé [4] ou d’un mécanisme de certification approuvé [5].
Attention, si cette obligation n’est pas remplie, c’est le sous-traitant initial qui sera responsable ! Gare donc à bien respecter toutes les obligations et les informations nécessaires pour être en règle !
Ces obligations, évoquées précédemment, ne laissent pas vraiment de place aux négociations lors de l’établissement du contrat (ou de l’acte juridique). Il est donc important, pour protéger le responsable de traitement, les sous-traitants et les traitements, d’être très familiers avec le RGPD et les obligations qu’il impose.
La tenue du registre par exemple [6] est essentielle et permet de garder un œil sur tous les traitements effectués. Bien que cette tenue ne soit pas obligatoire pour les entreprises de moins de 250 employés, le registre permet d’effectuer un véritable contrôle sur les traitements effectués et d’éviter les débordements – et donc les violations.
Tout cela est essentiel pour le sous-traitant, car si l’un des sous-traitants viole le RGPD dans ses moyens ou ses finalités, il pourra être considéré comme étant responsable de traitement et voir sa responsabilité engagée à ce titre !
Il est à noter que, dans le cas d’une relation responsable de traitement – responsable de traitement, il soit fréquent que les co-responsables de traitement se partagent une base de données pendant toute la durée du traitement. Par conséquent, bien qu’un contrat de traitement ne soit pas forcément nécessaire, il relève bien évidemment du bon sens qu’une relation contractuelle soit en place !
En cas de doute sur le contenu d’un contrat de traitement de données ou sur vos responsabilités en tant que responsable du traitement de données ou sous-traitant, il vaut toujours la peine de consulter un avocat spécialisé. N’oubliez pas qu’il s’agit d’une législation majeure qui peut avoir des conséquences importantes !
Si vous avez besoin des conseils spécifiques, n’hésitez pas à nous contacter.
Article rédigé par Lolita Huber-Froment et Charlotte Gerrish @ Gerrish Legal, initialement paru sur le site Village de la Justice, le 21 novembre 2018
Notes :
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[2] Cf. Article 26 RGPD.
[3] Cf. Article 28 alinéa 1.
[4] Cf. Article 40 du RGPD.
[5] Cf. Article 42 du RGPD.
[6] Cf. Article 30 du RGPD.