Le règlement général sur la protection des données (RGPD) met à la charge des sous-traitants, intervenants dans la chaîne de traitement, un certain nombre de nouvelles obligations. Celles-ci sont principalement détaillées à l’article 28 du RGPD consacré au sous-traitant.
Rappelons que le RGPD exige que le sous-traitant présente « des garanties suffisantes », afin que le traitement mis en œuvre pour le compte de son client soit conforme aux exigences du RGPD et protège les droits des personnes concernées. Il impose également que la relation entre le responsable de traitement et le sous-traitant soit régie par un contrat (ou un autre acte juridique).Deux points doivent figurer dans le contrat :
- Le sous-traitant « met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable de traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. »
- Le sous-traitant « informe immédiatement le responsable de traitement si, selon lui, une instruction constitue une violation du règlement ou d’autres dispositions du droit de l’union ou du droit des états membres relatives à la protection des données. »Le sous-traitant doit donc mettre à la disposition du responsable de traitement un certain nombre d’informations. La finalité de cette obligation est triple :
- Démontrer le respect de ses obligations.
- Permettre la réalisation d’audits, y compris d’inspections par le responsable de traitement ou un autre éditeur.
- Contribuer à ces audits.
Les informations nécessaires incluent l’alerte sur une instruction qui pourrait constituer une violation du RGPD ou d’autres législations protectrices relatives à la protection des données. Cette obligation d’information soulève un certain nombre de questions que les professionnels devront prendre en compte, chaque fois qu’ils négocient un accord en lien avec les données à caractère personnel, puisque cette information doit figurer dans le contrat. L’importance du contrat de sous-traitance L’organisation de la relation entre le sous-traitant et le responsable de traitement constitue une étape clé à ne pas négliger, lors de la phase de négociation précontractuelle.
Ainsi, le contrat de sous-traitance doit définir les éléments suivants :
- l’objet et la durée du traitement,
- la nature et la finalité du traitement,
- le type de données à caractère personnel et les catégories de personnes concernées,
- les obligations et les droits du responsable du traitement.
Ce contrat doit également contenir les instructions du responsable de traitement pour le traitement en cause. Elles peuvent prendre la forme d’une annexe au contrat.
De son côté, le sous-traitant doit exiger, dès la phase précontractuelle, que les instructions soient documentées, afin de respecter son obligation. C’est à ce moment-là que celui-ci peut être amené à devoir informer le responsable de traitement qu’une instruction lui paraîtrait contraire au RGPD ou à une autre disposition du droit de l’union ou d’un autre Etat membre.
Pendant la durée de vie du contrat, les instructions relatives au traitement peuvent évoluer. Le sous-traitant pourra donc être amené à devoir informer le responsable de traitement qu’une nouvelle instruction, postérieure à la conclusion du contrat, lui semble contraire au RGPD.
Les conditions dans lesquelles une telle information sera délivrée pourront être détaillées dans le contrat. Il pourra être précisé, dans une clause dédiée, que le sous-traitant doit immédiatement informer le responsable de traitement dès qu’il a pris connaissance de l’instruction et dans la limite des informations dont il dispose et de sa connaissance de la réglementation applicable (notamment nationale dans le cas de relations entre organismes établis dans des pays différents).
Les sous-traitants pourront, par exemple, mettre en place des systèmes automatiques d’alerte, si les instructions envoyées par le responsable de traitement s’effectuent par une interface logicielle, ou encore soumettre la liste des instructions au DPO (Data Privacy Officer) pour avis.
En outre, une clause déterminant la responsabilité de chacun devra faire l’objet d’une attention particulière et être aménagée de façon ne pas mettre à la charge du sous-traitant des obligations trop lourdes.
Quelles modalités d’information immédiate ?
Le texte parle d’une information immédiate. Nous pouvons nous interroger sur la question de savoir si le caractère immédiat de cette information signifie simplement « avant la mise en œuvre du traitement » ou si cela implique en plus une notion de délai. Ce point nécessiterait une clarification de la part des autorités nationales et européennes.
Cela signifie, pour nous, que le sous-traitant doit, dès qu’il a pu avoir connaissance de cette instruction, envoyer un écrit au responsable de traitement lui signifiant que, selon lui, cette instruction n’est pas conforme. Il pourra être pertinent, pour les parties, de prévoir des modalités et délais précis dans le contrat, afin d’encadrer cette obligation d’information.
Il est impératif pour le sous-traitant d’informer le responsable de traitement par écrit. Cela lui permettra, par la suite, de prouver qu’il l’a bien informé qu’une de ses instructions est contraire aux règles applicables. Il sera également nécessaire de conserver une trace des instructions du responsable de traitement concernant le traitement de ses données, pour prouver qu’il agit conformément aux instructions documentées.
Par exemple, si un responsable de traitement souhaite mettre en œuvre un traitement soumis à autorisation de la CNIL, et si le sous-traitant a connaissance de l’exigence de cette formalité préalable, ce dernier informe le responsable de traitement qu’il est donc nécessaire d’attendre la délibération autorisant le traitement avant sa mise en œuvre effective.
Le texte précise également que le sous-traitant considère « selon lui » qu’une instruction est contraire au RGPD ou autre texte du droit de l’union ou d’un état membre relatif à la protection des données personnelles. Cette formulation subjective implique qu’il n’est pas exigé que le sous-traitant ait véritablement une connaissance exacte et certaine de la règle potentiellement violée.
En conséquence, ne pèse pas sur le sous-traitant une obligation de conseil juridique ou technique en la matière, mais seulement une obligation d’« alerte » ponctuelle relative à une instruction précise formulée par le responsable de traitement. A charge pour le responsable de traitement de documenter une réponse lui confirmant que son instruction est conforme au RGPD… La formulation du texte est assez large concernant les textes pouvant être violés par une instruction du responsable de traitement, puisque celui-ci vise non seulement le RGPD, mais également les autres dispositions du droit de l’Union ou d’un état membre relatives à la protection des données personnelles.
Cet article a été écrit par François-Pierre Lani, Emilie Bacq et Chloé Kurfürst, avocats au cabinet Derriennic Associés.