partage de responsabilités entre responsables de traitement et sous-traitants

« Le règlement européen sur la protection  des données vise à responsabiliser les acteurs des traitements de données en uniformisant les obligations pesant sur les responsables de traitements et les sous-traitants ». C’est ce qu’annonce la CNIL. Mais qu’en est-il dans les faits? Comment ce partage des responsabilités est-il effectué ? 

La notion de « responsabilité conjointe » de traitement : une (réelle) innovation ?

L’article 2 de la directive de 1995 parlait déjà d’une possible co-responsabilité pour le traitement de données personnelles, en définissant le responsable de traitement comme pouvant être « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (article 2 d)). Toutefois, la transposition française de cette directive dans la loi informatique et libertés n’avait pas repris la notion, ne parlant quant à elle que d’un responsable unique, et donc, sans partage des responsabilités.

C’est aujourd’hui imposé : le règlement reprend la notion et la définie à l’article 26.

« Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement ».

A ce titre, les co-responsables de traitement sont solidaires quant à la responsabilité civile et administrative. Il va s’en dire que cette idée « rejoint celle, en droit français, de la solidarité passive des débiteurs s’étant obligés à une même chose (C. civ. Art. 1200 et s.) » (1).

Afin de préserver leurs intérêts, mais aussi d’être conformes au texte du GDPR, ces derniers devront matérialiser « leurs obligations respectives » au sein d’un accord dont les « grandes lignes » devront être mises à la « disposition des personnes concernées ».

Ce dernier point soulève des questions auxquelles le règlement n’apporte pas de réponses :

  • Qu’est-il entendu par « grandes lignes » ? quelles sont les dispositions qui doivent y figurer a minima ?
  • Quelle forme doit prendre cette « mise à disposition » de l’accord ? doit-il est mis en ligne ? La communication sur demande des personnes concernées suffit-elle ? Cet accord doit-il faire partie intégrante des conditions de vente ou d’utilisation du produit/service ?

A tout le moins, il sera nécessaire que la CNIL ou le G29 apportent des précisions sur ces points.

Une modification indispensable de la politique contractuelle des entreprises entre responsable de traitement et sous-traitant

Si la législation nationale n’imposait pas directement de contrat écrit entre le responsable de traitement et le sous-traitant (voir en ce sens l’article 35 de la loi informatique et libertés), il va s’en dire que dans les faits, les contrats étaient écrits. Mais désormais, la réglementation l’impose.

Toutefois, on ne sait pas quelle serait la sanction dans le cas contraire : y-aurait-il nullité du contrat ? Celle-ci serait-elle relative ou absolue ?

En tout état de cause, le règlement a précisé les clauses que doit comprendre ce contrat.

Clauses contenues dans le contrat de sous-traitance de données et partage des responsabilités : objet, nature et finalité du traitement, durée du traitement, type de données traitées, catégories de personnes concernées, obligations et droits du responsable du traitement, obligations du sous-traitant

Ce partage des responsabilités au sein du contrat est essentiel. Dans le cas d’un contentieux, le rôle de chacun sera examiné grâce à celles-ci. Cela est d’autant plus crucial qu’« une même entité peut agir à la foi en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations » (2).

les obligations du sous-traitant et partage des responsabilités

Le règlement fait évoluer le contenu des clauses, mais pas que. Il fait également évoluer les conséquences de leur non-respect.

Responsable de traitement et sous-traitant sont désormais solidaires dans leur responsabilité. Sur le plan administratif demeure la question de qui doit supporter l’amende et comment évaluer cette répartition. Des précisions devront être apportées.

Sur le plan civil, la personne lésée pourra, au choix, demander réparation à l’un ou à l’autre, lequel pourra ensuite se retourner contre le partenaire contractuel.

En somme, le sous-traitant risque gros à ne pas se soumettre à ses obligations. Mais ce n’est pas sans exonérer le responsable de traitement qui ne doit pas se décharger de « veiller au respect de ces mesures » par le sous-traitant (3), en plus de l’ensemble de ses obligations relatives au traitement des données.

Autre point sur lequel devront être apportées des précisions : la responsabilité du sous-traitant quant à l’exécution d’une instruction illicite. Sa responsabilité sera-t-elle double pour avoir obéi à des instructions illicites et ne pas en avoir alerté le responsable de traitement ?

 

 

(1) Mathieu Bourgeois, « Réforme européenne des données personnelles : le nouveau partage de responsabilité entre les acteurs d’un traitement », La Semaine Juridique Entreprise et Affaires n°22, 2 juin 2016, 1328

(2) G29, avis n°1/2010, WP 169, p. 27.

(3) CE, 11 mars 2015, n°368748, Sté Total Raffinage Marketing : JurisData n°2015-005000, V. n°70.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *