Recevez chaque jour toute l'actualité du numérique

x

RGPD : Un premier modèle de clauses contractuelles types pour la sous-traitance

Tribune Le premier modèle des clauses officielles liées à la sous-traitance du traitement des données personnelles dans le cadre du Réglement général sur la protection des données (RGPD) vient d'être soumis au Comité européen de la protection des données. Concrètement, quel impact va-t-il avoir sur la responsabilité du sous-traitant par rapport à celle du responsable désigné du traitement ? Décryptage d'Isabelle Cantaro, avocat associé au sein du cabinet Caprioli & Associés.
Twitter Facebook Linkedin Flipboard Email
×

RGPD : Un premier modèle de clauses contractuelles types pour la sous-traitance
RGPD : Un premier modèle de clauses contractuelles types pour la sous-traitance © Unsplash/Cytonn Photography

Le RGPD impose que la sous-traitance d’un traitement de données personnelles soit encadrée formellement via un contrat (ou autre acte juridique contraignant) qui "définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement" (art. 28).

Il s’agit en effet d’une nouvelle logique de responsabilisation des acteurs de la protection, c’est-à-dire : le responsable du traitement des données personnelles (qui décide des objectifs et des moyens du traitement), d’une part, et le sous-traitant (qui agit sur les instructions du responsable), d’autre part. Pour rappel, cet article précise les mentions de base que doit prévoir le contrat, à chacun d’apprécier la granularité desdites mentions…

Pour rappel, le RGPD prévoit également l’élaboration de clauses contractuelles types par la Commission européenne ou par une autorité de contrôle sous réserve de la validation du Comité Européen de la Protection des Données (ci-après "CEPD").  C’est chose faite : les premières clauses contractuelles types pour la sous-traitance ont été adoptées par la DATATILSYNET, l’autorité de contrôle danoise de la protection des données personnelles (homologue de la Commission Nationale de l’Informatique et des Libertés/CNIL) et sont publiées sur le Registre du CEPD depuis février 2020.

Des clauses contractuelles types au contenu très précis

Le jeu de clauses a été soumis au CEPD aux fins de validation conformément au mécanisme de contrôle de la cohérence prévu par le RGPD. De fait, il s’agit donc d’un premier modèle de clauses officielles. Bien que non obligatoires, ces clauses contractuelles types vont s’imposer puisqu’elles pourront être opposables à l’autorité de contrôle danoise notamment en cas de contrôle, sous réserve d’être utilisé telles quelles. Le cas échéant, il est possible d’y intégrer des dispositions complémentaires, plus protectrices des données personnelles…

Les clauses types reprennent et précisent les mentions de l’article 28 du RGPD (déjà très détaillées ….), au fil de leurs 15 articles et 4 annexes (A/Descriptif du traitement ; B/Sous-traitants ultérieurs autorisés ; C/Instructions ; D/Dispositions relatives aux autres activités non couvertes par les clauses). Ainsi, à titre d’exemple sur l’obligation de sécurité, les clauses prévoient que le sous-traitant doit évaluer les risques inhérents au traitement indépendamment de l’analyse menée par le responsable du traitement. En outre, une clause de tiers bénéficiaire est à prévoir pour le responsable de traitement afin de lui permettre d’être en relation directe avec le(s) sous-traitant(s) ultérieur(s) en cas de défaillance du sous-traitant initial.

Des clauses opposables à la CNIL ?

Le modèle danois n’est pas opposable à la Commission Nationale de l’Informatique et des Libertés (CNIL). Pour autant, ces clauses pourraient utilement compléter l’exemple de clauses de la CNIL, très largement utilisé depuis sa parution en octobre 2017 bien que non officiel. De fait, les clauses contractuelles types de l’autorité de contrôle danoise constituent une référence pour optimiser la rédaction des contrats de sous-traitance portant sur le traitement de données personnelles.

Quel impact sur la responsabilité du sous-traitant ?

Le RGPD prévoit que la responsabilité du sous-traitant puisse être engagée en cas de non-respect de ses obligations prévues par le règlement et également en cas d’agissement en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci (art. 82-2). Pour rappel, en fonction de la gravité du manquement au Règlement, cet acteur de la protection est aussi exposé aux sanctions fixées par l’article 83-4 (10 000 000 EUR ou jusqu’à 2% du CA annuel mondial total de l’exercice précédent) et par l’article 83-5 (20 000 000 EUR ou jusqu’à 4% du CA annuel mondial total de l’exercice précédent).

S’agissant des obligations légales liées à la sous-traitance, elles pourraient être synthétisées par la nécessité de : i) présenter des "garanties suffisantes" pour réaliser les traitements de données qui sont confiés par le responsable du traitement, ii) prendre des "mesures techniques et organisationnelles appropriées" pour la réalisation des traitements, iii) aider, assister le responsable à remplir ses obligations de conformité légale. Ces notions, littéralement sujettes à interprétation, ont vocation à être précisées. C’est un des objectifs du contrat liant le sous-traitant au responsable du traitement.

Du point de vue contractuel, le sous-traitant est tenu de réaliser les traitements conformément aux instructions du responsable du traitement qui doivent figurer dans le contrat (Annexe C/ des clauses contractuelles danoises). A ce titre, une lecture croisée des clauses françaises et danoises pour la sous-traitance permet d’appréhender la vaste étendue et la granularité des instructions auxquelles le sous-traitant peut être soumis.

Notons au passage que les autorités de contrôle disposent d’une marge d’appréciation, afin de tenir compte de leur contexte local, qui va se traduire par la coexistence de différents modèles… A l’instar des listes d’Analyse d’Impact relative à la Protection des Données déjà validées par le CEPD. A l’évidence, plus le contrat sera précis, plus la responsabilité du sous-traitant sera susceptible d’être engagée. Force est de constater que les clauses contractuelles danoises ont pour effet d’accroître les responsabilités du sous-traitant.

Dans ce contexte, il est conseillé de procéder à une analyse factuelle de la sous-traitance (maîtrise des moyens essentiels du traitement de données, notamment). En fonction de la situation, il pourra être utile de s’interroger sur l’opportunité d’opter pour le statut de responsable conjoint du traitement (art. 26 du RGPD).

Enfin, ultime bémol, ces clauses ne sont pas adaptées à toutes les situations de sous-traitance… Aurait-on encore oublié les "petites" sous-traitances de type maintenance informatique TPE/PME ? Vigilance donc, car comme le disait Friedrich Nietzsche, "le diable est dans les détails".

 

Isabelle Cantero, avocat associé
Responsable du pôle Vie privée et protection des données personnelles chez Caprioli & Associés



Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media