Vous le savez sans doute : en tant qu’avocat(e), vous êtes amené(e) à traiter des données à caractère personnel, notamment celles relatives à vos clients. Bien souvent, vous serez qualifié(e) de « responsable » de ces traitements de données. De ce fait, vous devrez respecter une série de principes[1] et de règles pour vous-mêmes mais aussi, parfois, vous assurer que d’autres en font autant[2].
Le RGPD prévoit deux cas de figure dans lesquels le responsable du traitement est tenu de conclure un contrat réglant formellement une série d’aspects relatifs à un – ou plusieurs – traitement(s) de données à caractère personnel. Dans ce Fil RGPD, nous nous attardons sur la première de ces deux situations : celle dans laquelle le responsable du traitement fait appel à un sous-traitant[3]. Explications.
1. Les notions de « responsable du traitement » et de « sous-traitant »
Rappelons tout d’abord que le RGPD prévoit que l’entité[4] qui détermine les moyens et les buts (le « comment » et le « pourquoi ») d’un traitement de données à caractère personnel doit être qualifié de « responsable du traitement »[5].
L’entité qui « […] traite des données à caractère personnel pour le compte du responsable du traitement » doit être considérée comme « sous-traitant »[6]. Attention, il existe également des situations dans lesquelles plusieurs entités sont qualifiées de « responsables conjoints » du traitement.
En pratique, il n’est pas toujours aisé de distinguer le sous-traitant du responsable conjoint. Pour simplifier, retenez que le sous-traitant n’influence pas le traitement de manière décisive, il se contente de suivre les instructions du responsable du traitement. L’intervention du responsable conjoint va plus loin : il décide de certains des éléments essentiels d’un traitement de données.
À titre illustratif, votre fournisseur externe de services informatiques sera vraisemblablement considéré comme un sous-traitant. À l’inverse, si vous collaborez avec un(e) autre avocat(e) sur la gestion d’un dossier commun, vous et votre confrère/consœur serez tous deux considérés comme responsables conjoints du traitement.
Lorsque vous collaborez avec une partie tierce, gardez en tête que votre premier réflexe doit être d’identifier le rôle que celle-ci joue par rapport à l’éventuel traitement en cause. Conservez bien l’analyse que vous effectuez (au cas par cas) à ce propos afin de pouvoir vous en expliquer en cas d’audit.
2. L’obligation de conclure un contrat de sous-traitance
Lorsque vous travaillez, en tant que responsable du traitement, avec un sous-traitant, le RGPD prévoit que vous devez conclure un contrat avec celui-ci (on parle souvent de « Data Processing Agreement » ou « DPA »)[7]. C’est une obligation importante en pratique et l’une des premières choses qu’on vous demandera en cas d’enquête c’est de fournir les DPAs que vous avez conclus avec vos différents sous-traitants.
La question que vous vous posez sans doute, à ce stade, est probablement la suivante : « Très bien, mais que doit contenir ce contrat ? ». Réponse : a minima, l’ensemble des éléments mentionnés à l’article 28 (3) du RGPD. Si vous jetez un œil à la disposition, vous verrez que la liste est assez longue et précise[8].
3. Le contrat de sous-traitance en pratique
Vous pourriez alors craindre le temps nécessaire pour rédiger un modèle de contrat intégrant tous ces éléments, surtout si vous n'êtes pas familier avec la protection des données. Cependant, il est possible (et recommandé) de simplifier cette tâche.
L’article 28 (7) du RGPD prévoit que « [l]a Commission peut établir des clauses contractuelles types pour les questions [liées au contrat de sous-traitance] […] ». La bonne nouvelle, c’est qu’elle a fait usage de cette possibilité. En annexe d’une décision d’exécution du 4 juin 2021, la Commission a fourni des clauses contractuelles que tout responsable du traitement est susceptible de reprendre. La communication contenant ces clauses est disponible ici : Publications Office.
Concrètement, le contenu des clauses n’est pas négociable (voy. la seconde clause du modèle). C’est un contrat d’adhésion. Seules les annexes au contrat doivent être complétées afin de fournir, notamment, des détails quant à l’identité du responsable du traitement et du sous-traitant, au(x) traitement(s) de données couvert(s), ou encore aux mesures techniques et organisationnelles prises par le sous-traitant afin de protéger les données.
Utiliser le modèle présente le double avantage de l’efficacité et de la sécurité juridique. Vous êtes certain(e) que le contrat encadre l’ensemble des points que le RGPD impose de couvrir et vous ne devez pas entrer, avec chaque sous-traitant, dans un long processus de négociation. On ne peut donc que recommander de l’utiliser, à moins que pour une raison ou une autre, votre situation ne s’y prête vraiment pas.
En résumé :
- Lorsqu’une partie tierce intervient dans un traitement de données personnelles dont vous êtes responsable, réalisez une analyse afin de qualifier le rôle de chacun(e) : cette partie joue-t-elle un rôle de responsable conjoint ou de sous-traitant ?
- Si elle est qualifiée de sous-traitant, vous devez conclure un contrat avec elle.
- En pratique, nous vous recommandons d’utiliser les clauses contractuelles types de la Commission européenne comme modèle afin de conclure ce contrat.
Dans notre prochaine Fil RGPD, nous verrons qu’il est aussi nécessaire de conclure un contrat entre responsables conjoints. La Commission vous aide-t-elle là aussi ? Affaire à suivre…
Martin Rappe,
Avocat au barreau de Bruxelles et Chercheur au CRIDS (NaDi)
-------
[1] Voy. à ce propos la Tribune n° 251, disponible ici : RGPD dans la pratique des avocats : enjeux et recommandations | La Tribune.
[2] Lecture combinée des articles 5 (2), 24 et 28 (3) du RGPD.
[3] On rappellera qu’outre l’obligation de conclure un contrat, il convient de s’assurer que le sous-traitant présente des garanties suffisantes et communique sa politique de sécurité. Pour plus de détails, voir la Fiche RGPD 6 disponible sur l’extranet d’AVOCATS.BE.
[4] Il peut s’agir, d’une personne physique, d’une personne morale ou même d’une entité ne disposant pas de la personnalité juridique. Voy., en ce sens, C.J., arrêt État belge c. Autorité de protection des données, 11 janvier 2024, C-231/22, EU:C:2024:7, pt 36.
[5] RGPD, art. 4 (7).
[6] RGPD, art. 4 (8).
[7] RGPD, art. 28 (3).
[8] Si cela vous intéresse, vous trouverez ici le texte français du règlement : RÈGLEMENT (UE) 2016/ 679 DU PARLEMENT EUROPÉEN ET DU CONSEIL - du 27 avril 2016 - relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/ 46/ CE (règlement général sur la protection des données).
