Retour aux actualités

Pour une mise en place responsable des obligations contractuelles du RGPD

Le règlement général sur la protection des données, dit « RGPD », applicable depuis le 25 mai 2018, impose de prévoir dans le contrat liant les clients et les prestataires des clauses sur le traitement des données personnelles. Les contrats en cours après le 25 mai 2018 doivent ainsi être modifiés.

main d'un homme qui écrit un texte

Pour le succès de la réforme, il convient que la responsabilisation de tous les acteurs soit une réalité et ne soit pas remise en cause par le jeu de la négociation contractuelle et des situations de dépendance économique. Les responsables du traitement pourraient, en effet, chercher à transférer l’intégralité de leurs risques à leurs fournisseurs, se déchargeant par là même de leurs obligations.

Cette pratique, qui se manifeste d’ores et déjà, est non seulement en contradiction avec l’objectif recherché par le règlement, mais également à la limite d’une juste éthique des affaires.

L’importance de la qualification des acteurs pour la détermination des obligations de chacun

Avant de déterminer les mentions qui devront figurer dans le contrat conformément à l’article 28 du RGPD, une étape essentielle consiste pour les parties à qualifier leurs relations : le client est-il responsable du traitement ou responsable conjoint du traitement ? le prestataire informatique est-il sous-traitant ou responsable conjoint du traitement ?

Dans la majorité des contrats de prestations informatiques (maintenance, hébergement, etc.), le client a la qualité de responsable du traitement en ce qu’il détermine les finalités et les moyens du traitement et le prestataire informatique a la qualité de sous-traitant en ce qu’il traite des données personnelles pour le compte du client. Dans des situations plus exceptionnelles, un client et un prestataire informatique pourront être qualifiés de responsables conjoints du traitement (chacun ayant la qualité de responsable du traitement) en ce sens qu’ils déterminent ensemble les finalités et les moyens du traitement et devront ainsi se répartir les obligations mises à la charge du responsable du traitement par le RGPD.

Cette qualification est extrêmement importante puisqu’en découleront les obligations respectives du client et du prestataire informatique conformément à ce qui est prévu par le RGPD. Une erreur d’appréciation sur la qualité des parties pourra avoir des conséquences lourdes en termes de responsabilité des parties (non-respect des obligations). Il est ainsi recommandé de consacrer à cette étape primordiale une attention toute particulière.

Tirons-en deux enseignement capitaux :

  • Il n’est pas possible de déterminer la qualité des parties uniquement sur un fondement contractuel : une analyse in concreto sur la base d’un faisceau d’indices doit être effectuée. En effet, en cas de mauvaise qualification par les parties, un juge ou une autorité de contrôle pourra décider de requalifier la relation entre les parties.
  • Il n’est pas possible de transférer certaines des obligations du client, responsable du traitement, sur le prestataire informatique, sous-traitant (les obligations des parties en fonction de leur qualité sont imposées par le RGPD) : de la qualité découlent obligations et responsabilités associées.

Des confusions risquant de fragiliser les règles de protection des données personnelles

Les confusions liées à la qualité des parties au contrat et par conséquent à la nature de leurs obligations respectives sont souvent liées à l’utilisation du terme « co-responsable », parfois utilisé pour désigner la qualité de responsable conjoint du traitement (dans des cas très particuliers) ou la responsabilité conjointe et solidaire du sous-traitant et du responsable du traitement vis-à-vis de la personne concernée.  

Rappelons que :

  • Dans la majorité des cas, le client est responsable du traitement et le prestataire informatique est sous-traitant.
  • Le sous-traitant peut se voir imposer certaines obligations nouvelles : tenue d’un registre, désignation d’un délégué à la protection des données personnelles, etc. mais le client reste tenu de respecter ses propres obligations. Il existe ainsi des obligations communes au sous-traitant et au client. Le sous-traitant est responsable des manquements à ses obligations mais en aucun de ceux aux obligations incombant au client.
  • Le sous-traitant peut être tenu pour responsable d’un dommage causé par un traitement s’il a agi en dehors ou contrairement aux instructions du client (par exemple, finalité, durée de conservation, etc.).
  • Les personnes concernées peuvent obtenir du sous-traitant ou du responsable du traitement réparation du préjudice subi, chacun des responsables du traitement ou des sous-traitants participant au même traitement pouvant être tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective. Mais, dans ce cas, le sous-traitant pourra réclamer auprès du client ou des éventuels autres sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage.

En outre, soulignons que certaines dispositions du RGPD restent à préciser, par exemple, la notion d’aide du sous-traitant au client. A cet égard, Syntec Numérique a formulé des remarques sur le guide du sous-traitant de la CNIL, utilisé par de nombreuses entreprises, afin qu’une version enrichie puisse être disponible prochainement.

Un dialogue nécessaire entre les clients et les prestataires informatiques

Afin de faciliter les relations entre les clients et les prestataires informatiques, Syntec Numérique appelle les donneurs d’ordre à sensibiliser en interne les directions concernées (juridique, achat, DSI, etc.). Un dialogue régulier entre les clients et les prestataires informatiques, impliquant le cas échéant la CNIL et le Médiateur des Entreprises, est nécessaire pour parvenir à une application cohérente du RGPD et à un équilibre contractuel entre les parties.

Thématiques associés

A lire également sur notre site

Etude « Formations et compétences sur l’Intelligence Artificielle en France »

08.11.2019

Data Science et IA : 7 500 créations nettes d’emploi dans la Branche d’ici 5 ans

Lettre juridique - Octobre 2019

Téléchargez les actualités juridiques du mois d'octobre 2019.