Quelles sont les précautions à prendre en matière de données à caractère personnel dans les contrats passés avec des tiers, sous-traitants, prestataires ?

Constat

Les données à caractère personnel communiquées à ou gérées par des sous-traitants doivent bénéficier de garanties suffisantes. Il convient donc de prendre certaines précautions dans les contrats passés avec eux.

Réponse 

Conformément à l’article 82 §2 du règlement général sur la protection des données (RGPD), le responsable du traitement est, en principe, responsable du dommage causé par le traitement qui constitue une violation des dispositions du RGPD.
En application de l’article 28 §1 du RGPD, le responsable du traitement porte également la responsabilité du choix de son ou de ses sous-traitants. Il doit, en effet, faire appel uniquement à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée.

S’agissant des sous-traitants eux-mêmes, le RGPD les soumet dorénavant à une grande partie des obligations qui incombent aux responsables de traitements. Chaque sous-traitant doit notamment présenter les garanties à la fois organisationnelles et techniques appropriées aux traitements effectués et adaptées à la catégorie de données personnelles traitées par lui-même pour le compte du responsable du traitement. Cependant, il faut préciser qu’un sous-traitant ne peut être tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement au sous-traitant ou qu’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.
Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement. Cela ressort de l’article 29 du RGPD.
Le sous-traitant ne doit pas faire appel à un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable de traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable de traitement la possibilité d’émettre des objections à l’encontre de ces changements, conformément à l’article 28 §2 du RGPD.

Quoi qu’il en soit, lorsque plusieurs responsables de traitements ou sous-traitants ou lorsque, à la fois, un responsable de traitements et un sous-traitant participent au même traitement et, lorsqu’ils sont responsables d’un dommage causé par le traitement, chacun est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective, en application de l’article 82 §4 et §5 du RGPD.
Il est donc important de veiller à engager la responsabilité de vos prestataires/sous-traitants au moyen d’une clause-type délimitant le rôle de chacun et permettant d’engager la responsabilité du sous-traitant.
Il conviendra de revoir les contrats de sous-traitance en cours par la négociation de l’insertion d’une clause permettant d’engager la responsabilité du prestataire. Il faudra également veiller à l’insertion d’une clause-type dans tous les nouveaux contrats avec des prestataires par la mise en place, par exemple, d’un process pour que, dans chaque nouveau contrat, une telle clause soit prévue.
 

Références : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD).