Le Règlement Général sur la protection des données (RGPD) entraîne d’importants changements pour l’ensemble des acteurs, entreprises privées comme organismes publics, dont l’activité implique un traitement de données personnelles. Y compris pour les sous-traitants.
Parmi ses nouvelles dispositions, le Règlement opère une redéfinition totale du cadre juridique et contractuel applicable aux « sous-traitants », c’est-à-dire aux prestataires de services traitant des données personnelles pour le compte de l’entité responsable du traitement.
En pratique, sont donc concernés tous les prestataires intervenant dans la chaîne du traitement des données personnelles collectées par le responsable du traitement, tels que les prestataires de service en mode SaaS, les Data Management Platforms (DMP), les agences de Web marketing ou encore les hébergeurs chargés du stockage des données. Les dispositions du RGPD prennent également en compte le cas de la « sous-sous-traitance », pratique très courante aujourd’hui, dans la mesure où les prestataires Saas confient usuellement l’hébergement des données à des tiers.
Afin de les responsabiliser davantage, compte tenu de leur rôle déterminant dans le processus de traitement de données, de nouvelles obligations ont été mises à la charge des sous-traitants, ce qui oblige responsables de traitement et prestataires informatiques à vérifier la conformité de leurs contrats de sous-traitance avec le RGPD.
Plusieurs nouvelles exigences posées par le Règlement sont à vérifier :
- Le sous-traitant a désormais l’obligation de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, alors qu’auparavant son obligation se limitait à devoir sécuriser techniquement les traitements auxquels il procédait. Pour démontrer qu’il possède lesdites garanties, le sous-traitant pourra adhérer à des codes de conduite ou à un mécanisme de certification, vivement recommandés par le Règlement.
- Dans l’hypothèse où le sous-traitant recourait lui-même aux services d’un autre prestataire (cas de la « sous-sous-traitance »), le sous-traitant initial devra requérir l’autorisation écrite et préalable du responsable du traitement, qu’il s’agisse d’une autorisation générale ou spécifique. Le sous-sous-traitant se verra, quant à lui, appliquer les mêmes obligations en matière de protection de données que celles fixées par le Règlement pour le sous-traitant.
- Le sous-traitant doit veiller à ce que les personnes autorisées à traiter les données personnelles (ses salariés, par exemple) respectent la confidentialité.
- Le sous-traitant (sauf s’il a moins de 250 salariés) est également soumis à l’obligation de tenir un registre des traitements effectués pour le compte du responsable du traitement.
- Le sous-traitant a une obligation générale d’assistance et de coopération accrue à l’égard du responsable du traitement. Il doit, par exemple, l’informer dès lors qu’une instruction constitue, selon lui, une violation du Règlement ou de toute autre disposition relative à la protection des données. Il est également tenu de lui notifier, sans délai, toute violation de données à caractère personnel dont il aurait eu connaissance.
- Enfin, le sous-traitant a l’obligation de conclure un contrat écrit avec le responsable du traitement. Cette exigence n’est certes pas nouvelle, mais elle a été renforcée, puisque le RGPD exige que ce contrat contienne des stipulations expresses, relatives notamment à l’objet et à la durée du traitement, au type de données à caractère personnel concernées, mais également aux droits et obligations des parties évoquées ci-dessus.
- Ces nouvelles exigences s’accompagnent de la mise en place d’amendes administratives en cas de violation du Règlement. Ces sanctions peuvent s’élever jusqu’à dix millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial total du sous-traitant en cause.
- Le Règlement institue une responsabilité conjointe et solidaire du responsable du traitement et du sous-traitant à l’égard de toute personne ayant subi un dommage du fait de la violation des dispositions du Règlement. Jusqu’à présent, la responsabilité du responsable du traitement faisait « écran » à celle du sous-traitant. Désormais, ce dernier pourra être directement mis en cause.
- En cas de sous-sous-traitance, cette responsabilité directe à l’égard des tiers s’appliquera également à chacun des prestataires intervenant dans la chaîne du traitement de données. A l’égard du responsable du traitement, le sous-traitant restera toutefois pleinement responsable en cas de manquement, par son sous-sous-traitant, aux obligations du contrat initial.
Cet article a été écrit par Nicolas Moreau, avocat associé, et Clotilde Biron, avocat, Brunswick Société d’Avocats