Encadrer la sous-traitance, un enjeu primordial du RGPD

  • Home
  • Métier
  • Encadrer la sous-traitance, un enjeu primordial du RGPD

L’article 28 du RGPD énonce que « lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

Cet article évoque plusieurs points essentiels, notamment celui sur les garanties suffisantes, mais aussi la protection des droits des personnes concernées.

Il existe également la qualification, importante, de co-traitance : lorsque deux personnes, entités, services, ou autre, déterminent conjointement les finalités et les moyens d’un traitement de données personnelles, elles ont la qualité de « responsables conjoints » de ce traitement, au sens de l’article 26 du RGPD. Ce concept doit également être encadré contractuellement. En effet, les obligations de chacun peuvent varier.

Chacun des acteurs devant définir sa qualité dans le cadre d’un traitement de données personnelles concerné, les clauses RGPD deviennent de plus en plus étayées avec des conséquences variables.

Les clauses contractuelles RGPD, un encadrement obligatoire des relations entre sous-traitant RGPD et donneur d’ordre

Ces clauses sont importantes, car elles permettent notamment de cadrer la relation entre les acteurs et plus particulièrement les questions de responsabilités.

Il faut savoir que ces clauses doivent contenir à minima, et sous format écrit, selon l’article 28 du RGPD, l’organisation de la collaboration pour l’exercice du droit des personnes et les différentes clauses de sécurité de l’article 29. La procédure lors d’une notification pour une violation de données doit également être encadrée. Enfin, les clauses de transfert de données et les clauses d’audits doivent apparaître.

Article à lire : 11 actions à réaliser pour votre mise en conformité RGPD

Nous pouvons identifier plusieurs types de relations, et pour ce travail de recherche nous allons supposer que l’organisme, quel que soit son rôle, est celui qui rédige les clauses. Nous l’appellerons « organisme A ».

A. Définir les conditions de la sous-traitance

L’organisme A est responsable de traitement, et son cocontractant est un sous-traitant RGPD. C’est-à-dire qu’il agit pour le compte et sur instruction du responsable de traitement, en l’espèce pour le compte de l’organisme A.

L’enjeu pour l’organisme A est de définir les conditions de sous-traitance, c’est-à-dire de remplir les obligations de la réglementation applicable, notamment l’obligation de faire un contrat. Cela permet d’engager le sous-traitant RGPD au niveau défini par l’organisme. Notamment au regard d’une possible sous-sous-traitance — lorsque le sous-traitant 1 engage un sous-traitant 2.

Lorsque l’organisme A est sous-traitant RGPD, la rédaction de ces clauses lui permet de réduire un risque de qualification en tant que responsable conjoint de traitement.

En effet, les obligations diffèrent. De plus, cela permet à l’organisme A de ne pas s’engager sur plus que ce qu’il ne peut, au niveau des prestations à réaliser par exemple. Une requalification de l’organisme A en tant que responsable de traitement n’est toutefois pas exclu à la lumière d’une analyse « in concreto » de la relation entre l’organisme A et son donneur d’ordre dans le cadre du traitement des données concerné.

Il faut donc bien veiller à ce que dans le cadre de la relation avec le donneur d’ordre, l’organisme A ne se comporte pas en tant que co-responsable de traitement à un quelconque moment, afin de refléter fidèlement ce qui a été contractualisé avec le donneur d’ordre.

B. Informations des personnes concernées

L’organisme A est responsable de traitement et les destinataires sont les personnes concernées. Grâce à ces clauses, le responsable de traitement remplit les obligations de la réglementation applicable, notamment l’obligation d’informations des personnes concernées.

Autre cas de figure, l’organisme A est toujours responsable de traitement, mais a un rôle  d’intermédiaire auprès des personnes concernées. C’est notamment le cas lorsqu’il est difficile ou impossible d’informer directement les personnes concernées. Il s’agit alors de reporter cette obligation sur un co-contractant en lien avec les personnes concernées, comme par exemple l’employeur.

L’organisme A est sous-traitant RGPD et son cocontractant est le responsable de traitement. Ces clauses vont permettre de préciser dans les documents opposables aux utilisateurs finaux que l’organisme A n’est pas responsable de traitement, mais seulement le sous-traitant, car ce n’est pas lui qui détermine les finalités et les moyens du traitement.

C. Exclure la sous-traitance

L’organisme A est responsable de traitement et son cocontractant également. Les clauses permettant de définir que chaque partie est responsable de sa conformité au regard de la règlementation applicable permet d’éviter la qualification de sous-traitant.

D. Exemples de clauses limitatives

Il devient important pour les organismes de limiter leurs responsabilités, dans la limite réglementaire. À titre d’exemple, ci-après une clause contractuelle illustrant cela :

« Le Partenaire veillera à ne pas soumettre, transmettre, stocker des Données qui nécessiteraient que L’organisme se conforme à des lois ou des réglementations spécifiques autres que celles expressément prévues dans le Contrat.

Au sens de la Loi nº 2004-575 du 21 juin 2004, pour la Confiance en l’Économie Numérique dite « LCEN », L’organisme est réputé être l’hébergeur des Données et le Partenaire l’éditeur des contenus et Données. En effet, L’organisme n’effectue aucune vérification préalable des Données du Partenaire, et ne peut donc pas être tenu responsable du contenu ou d’effets de ces Données, sans préjudice du respect de la Réglementation sur la protection des données en cas de Données Personnelles ».

Il s’agit ici d’indiquer que l’organisme ne contrôle pas les données personnelles qu’ils traitent, il ne peut donc pas être tenu responsable de tout manquement dû au responsable de traitement.

On peut également retrouver cette formulation :

« Le Partenaire a informé L’organisme que ses Données pouvaient inclure des Données Personnelles. Le Partenaire s’engage toutefois à ne traiter et à ne sous-traiter à L’organisme, que les Données Personnelles strictement nécessaires pour répondre à ses besoins propres et ceux de ses utilisateurs dans le cadre des Services. Le Partenaire reconnaît et accepte qu’il agît en tant que « Responsable de traitement » au sens de la Réglementation sur la protection des données, sur ses Données Personnelles, L’organisme étant réputé « Sous-traitant » et agissant à ce titre sous les instructions du Partenaire ».

cta blog prestataire

La fin de la relation contractuelle

Ces clauses, qui encadrent les relations, peuvent prévoir les conséquences en cas de fin du contrat entre les parties, ou bien même justifier la résiliation du contrat en cas de non-respect de celles-ci. C’est donc un sujet d’attention particulière lors de la négociation d’un contrat.

Cette fin de relation peut être de deux types, à la fois parce que le contrat arrive à son terme, ou bien lors d’une résiliation.

A. Terme du contrat

Le contrat prend fin, car la prestation est terminée : le traitement de données lié à celle-ci n’a donc plus d’objet.

Les clauses doivent prévoir le sort des données à l’issue du contrat. C’est tout d’abord nécessaire pour permettre une gestion opérationnelle des politiques internes en matière de données personnelles. Sans engagement contractuel « standardisé » reflétant la politique interne de gestion des données personnelles, la gestion de l’opérationnel (et donc de la « vraie » conformité) devient une tâche encore plus ardue.  L’objectif étant pour le sous-traitant de limiter, par exemple, la durée de conservation des données afin d’éviter à avoir à stocker des données « inutiles », ce qui, au-delà des coûts associés, l’allège de ses obligations en tant que sous-traitant concernant ces données.

À titre d’exemple, il n’aura plus, du fait de la suppression des données, à traiter les éventuelles demandes de droit transmises par son donneur d’ordre.

Bien évidemment, il faut garder à l’esprit que le droit de l’Union ou de l’État membre concerné peut imposer une durée de conservation minimale de ces données.

B. Résiliation du contrat

Si cela est prévu contractuellement entre les parties, le non-respect des clauses contractuelles peut engendrer la fin du contrat, notamment pour résiliation.

Ci-après une clause de résiliation illustrant cela :

« En cas de non-respect des présentes dispositions, le Client pourra résilier de plein droit le présent Contrat, de plein droit, sans pénalités et sans mise en demeure préalable, sans préjudice de la possibilité de demander la réparation du préjudice subi. »

L’insertion d’une telle clause est un vrai atout pour le donneur d’ordre, qui pourra se libérer de ses obligations avec son sous-traitant en cas de non-respect des clauses contractuelles relatives au RGPD.

Bien que le respect du RGPD ne soit évidemment pas une « option » pour le sous-traitant, une clause RGPD lui imposant des obligations allant au-delà de celui-ci pourrait fragiliser considérablement la pérennité de sa relation avec son donneur d’ordre. Ainsi, avec de telles clauses, le donneur d’ordre pourra faire usage de ses clauses pour « sortir » un sous-traitant sans frais en cas de non-respect par ce dernier des stipulations contractuelles ou de profiter de ce manquement pour renégocier de manière drastique les conditions financières du contrat en menaçant de résiliation.

On reste vigilant donc ! 

Article écrit par notre Product Manager 👨🏻‍💻 Thibaut Vergne



Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *