La notion de responsable du traitement et celle de sous-traitant : les éclaircissements tant attendus du CEPD sont arrivés !
18 octobre 2020.
Le CEPD a adopté, le 2 septembre dernier, ses premières lignes directrices sur les notions de responsable du traitement et de sous-traitant.
La consultation publique qui s’en suit, ouverte jusqu’au 19 octobre 2020, est l’occasion de revenir sur la problématique de la qualification des acteurs, dont les conséquences sont autant organisationnelles (établissement d’une gouvernance RGPD) que contractuelles (signature ou non d’un Data Processing Agreement).
Lignes directrices et consultation publique
Le 2 septembre 2020, le Comité Européen de la Protection des Données (CEPD) a publié les lignes directrices 07/2020 en apportant des précisions sur les notions de responsable du traitement et de sous-traitant. En consultation publique jusqu’au 19 octobre prochain, cette publication s’inscrit dans la continuité du travail entrepris par le groupe de travail « Article 29 » (ancien CEPD) avec l’adoption d’un premier avis 1/2010 sur l’étude de ces mêmes notions (WP169).
Définis au sein du Règlement Général sur la Protection des Données du 27 avril 2016 (RGPD), le responsable du traitement et le sous-traitant sont des notions cruciales dans l’application de ce texte. Bien que le RGPD apporte d’une part, des précisions par rapport à l’état du droit antérieur et d’autre part, de nouvelles obligations à la charge de ces parties, ces notions n’en sont pas moins complexes et méritent une harmonisation claire au sein de l’Union européenne.
Les définitions du règlement européen à préciser
En effet, dans le RGPD, on retrouve les définitions suivantes :
- Responsable de traitement : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » [1]
- Sous-traitant : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »[2]
Si les définitions apportées par le RGPD sont limpides et ont permis de faire largement évoluer la compréhension des enjeux et des obligations qui incombent à ces deux acteurs, des précisions sont fréquemment apportées par différents organes européens.
Ainsi, entre 2018 et 2019, la Cour de Justice de l’Union Européenne (CJUE) avait eu l’occasion de rendre plusieurs décisions sur la définition et la portée de la responsabilité conjointe, sur les obligations respectives des « co-responsables de traitement » ou encore sur la nature exacte des obligations qui pèsent sur les sous-traitants.
Cette année, le CEPD a tenté d’apporter à son tour de la clarté sur ces critères de qualification.
Concernant le responsable du traitement :
Le CEPD effectue une distinction entre les moyens « essentiels du traitement » qui doivent être déterminés par le responsable du traitement des moyens « non-essentiels » qui, quant à eux, peuvent être déterminés par le sous-traitant seul. Pour le premier, il peut s’agir du type de données personnelles traitées ou encore de la durée du traitement. Le second peut notamment concerner le logiciel à utiliser pour traiter les données ou encore la décision sur les mesures de sécurité détaillées.
Ensuite, le CEPD apporte des éléments d’information pour identifier les responsables de traitement qui peuvent être de deux types : des dispositions légales ou l’analyse factuelle et circonstancielle du traitement.
- Les dispositions légales peuvent toucher la législation d’un Etat membre qui prévoit que les autorités municipales en charge des prestations sociales collectent les données personnelles des administrés relatives à leur situation financière.
- L’analyse factuelle et circonstancielle touche par exemple l’employeur qui bénéficiera de facto de la qualité de responsable du traitement lorsqu’il s’agit du traitement de données de salariés d’une entreprise.
Le CEPD explique également qu’une entité peut bénéficier du statut de responsable du traitement même sans avoir accès aux données.
Enfin, il évoque l’éventualité des co-responsables du traitement qui peut résulter soit d’une décision commune par les différents acteurs, soit de plusieurs décisions convergentes par ces mêmes acteurs.
Concernant le sous-traitant :
Théoriquement, le sous-traitant réalise le traitement pour le compte d’une autre partie, le responsable du traitement, conformément à ses instructions. Toutefois, le CEPD précise que le sous-traitant est en mesure de prendre des décisions concernant certains moyens « non-essentiels ». Par exemple, quels systèmes informatiques ou autres moyens techniques utiliser pour le traitement ou le détail des mesures de sécurité basées sur les objectifs généraux de sécurité fixés par l’autre partie.
Conséquences contractuelles de la qualification des acteurs
Au regard du RGPD, le responsable du traitement qui souhaite s’assurer que son sous-traitant présente des garanties suffisantes doit évaluer les connaissances du sous-traitant, notamment son expertise technique en matière de sécurité ; la fiabilité du sous-traitant ; les ressources du sous-traitant.
Le CEPD apporte des informations sur l’article 28 du RGPD en précisant un certain nombre de mentions obligatoires. En effet, le contrat ne doit pas se contenter de reprendre les dispositions du RGPD mais les adapter à chaque contrat. Par exemple, le contrat doit inclure :
- Des informations sur les mesures de sécurités adoptées par le sous-traitant ;
- L’obligation pour le sous-traitant d’obtenir l’accord du responsable du traitement en cas de changement de ces mesures ; ainsi que
- Une revue régulière desdites mesures.
Enfin, concernant la formalisation de l’accord de coresponsabilité entre ces deux acteurs, le CEPD suggère qu’il prenne la forme d’un acte contraignant (contrat ou tout autre acte juridique).
Parmi ceux-ci, le RGPD impose aux clients de services ou de prestations informatiques de sécuriser la mise à disposition de leurs bases de données personnelles à leurs prestataires par la signature d’un contrat obligatoire, le « data processing agreement » (DPA).
Le guide pratique du négociateur de DPA
Régulièrement amené à accompagner les professionnels dans la rédaction et la négociation des Data Protection Agreement, le Cabinet ITLAW Avocats a été témoin des difficultés rencontrées par les prestataires IT et leurs clients à s’approprier ce nouveau dispositif juridique et des situations de blocage auxquels ils pouvaient être confrontés dans la négociation de certaines clauses du DPA.
L’idée de réunir autour d’une même table les différents acteurs du marché IT pour s’écouter autrement et rechercher ensemble des solutions adaptées pour chacun est apparue comme une évidence : un livre est né de ces échanges et travaux concrets et transparents : le guide pratique des DPA – des solutions communes pour les acheteurs et les prestataires de services IT.
Les travaux qui ont permis de construire ce livre ont été suivis par la CNIL qui a préfacé cet ouvrage.
Dès le début de l’année 2019, nous avons réunis différents profils de professionnel afin de pouvoir couvrir le maximum de situation rencontrées sur le marché : clients IT (grandes entreprise, PME et start up), éditeurs de solution SaaS de premier plan, infogérant, et prestataires IT, institutionnels (Agence Nationale de la Sécurité des Systèmes d’Information, « ANSSI ») et représentants de fédérations d’acheteurs (le CRAI)
Le constat se confirme : les principaux acteurs – juristes, acheteurs, commerciaux, DPO – rencontraient des difficultés à s’approprier le dispositif juridique européen. Les prestataires IT invoquaient plus particulièrement l’analyse qui en est faite par leurs clients, lesquels tendent parfois à mettre à leur charge des responsabilités nouvelles qui devraient, à leur sens, rester à la charge des clients. Inversement, les clients IT invoquaient plus particulièrement le fait qu’ils avaient l’impression que les prestataires IT cherchaient à tout prix à s’exonérer de leur responsabilité et à faire porter au client la responsabilité de leurs manquements ainsi que le cout de leur mise en conformité.
Par ailleurs, les petites sociétés de services, souvent moins avancées dans leur conformité, sont fréquemment écartées des appels d’offres au vu des prérequis de plus en plus exigeants qui leur sont soumis par les acheteurs en amont de la relation contractuelle.
Les sociétés de prestations de services en situation de position dominante sur un secteur spécifique n’hésitent pas à soumettre à leur client des « DPA d’adhésion », lesquels vont jusqu’à autoriser les prestataires à une réutilisation des données personnelles de leurs clients pour leur propre compte.
Ces points de tension deviennent des éléments de blocage et de tensions durant les négociations du DPA, acte devenu pourtant incontournable du fait du RGPD.
Il est possible de rétablir un juste équilibre entre les intérêts respectifs des acteurs du marché, dans le respect du RGPD, des lignes directrices du Comité européen de protection des données, ou encore des préconisations de autorités de protection des données européennes.
Nous avons rédigé un guide pratique de la rédaction et la négociation des DPA, avec des solutions pragmatiques basées sur l’analyse et les retours d’expériences de plusieurs grands acteurs du secteur IT.
Chaque chapitre de ce guide correspond à une thématique relevant du DPA qui, après un bref rappel du dispositif juridique, restitue les regards croisés des acteurs autour des points de tension identifiés et conclue à des propositions concrètes pour rétablir un juste équilibre des intérêts respectifs de chacun, dans le respect du RGPD.
Grace à ce guide du PDA – à paraitre très prochainement – le DPA n’aura bientôt plus de secrets pour vous !
Vous êtes intéressés par cet ouvrage ? Vous pouvez vous le procurer ici
Claudia Weber, avocat fondateur du Cabinet ITLAW Avocats et Arthur Poirier, avocat en charge des activités data et emarketing
Vous vous interrogez sur les qualifications à adopter dans le cadre d’un projet ? Vous rencontrez des difficultés dans la négociation de votre DPA ?
Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins, y compris pour vos projets complexes.
ITLAW Avocat mobilise ses talents et son expertise ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos DPA.
[1] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4
[2] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4
Nous contacter