Newsletter n°19 - Mars 2018 - La nécessaire anticipation par les sous-traitants de l'entrée en vigueur du Règlement général sur la protection des données (RGPD)

Le Règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre-circulation des données, dans le but de renforcer les droits des résidents européens sur leurs données, qui doit entrer en vigueur le 25 mai 2018, procède à une responsabilisation de l’ensemble des acteurs des chaines de traitement, qu’ils soient ou non établis sur le territoire de l’Union, et plus particulièrement pour les sous-traitants.

Règlement européen 2016/679 du 27 avril 2016

Préalablement au Règlement sur la protection des données, le droit européen – comme au demeurant les différents droits nationaux des pays de l’Union – opérait une différenciation très marquée entre les responsables de traitements de données personnelles et leurs sous-traitants (lesquels ne se voyaient pas imposer d’obligations spécifiques, susceptibles d’engager leur responsabilité). Mais cette délimitation tend désormais à s’estomper et il revient notamment aux sous-traitants intervenant dans un ou plusieurs traitement(s) de données à caractère personnel d’aider activement les responsables de ces mêmes traitements dans leur démarche permanente de mise en conformité avec le droit européen.

En effet, le Règlement européen est directement applicable et ne nécessite pas de transposition préalable en droit français pour trouver application (à la différence d’une directive) et, dès le 25 mai 2018, tous les traitements de données personnelles – en ce compris ceux mis-en-œuvre avant cette date – devront être mis en conformité avec ses dispositions.

Il est dès lors fondamental que les entreprises s’interrogent sur leur positionnement quant aux traitements de données qu’elle sont amenées à utiliser, afin notamment, le cas échéant, d’apporter dès à présent toutes modifications nécessaires à leurs contrats en vigueur.

1. Quels sont les traitements de données soumis au Règlement européen ?

Le Règlement prévoit son application "au traitement de données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union". Il s’agit là d’un premier critère de rattachement fondé sur la personne des organismes intervenant dans la chaîne de traitement des données.

Or le Règlement trouve également à s’appliquer "au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées" au comportement de telles personnes sur le territoire de l’Union ou à des offres de biens ou de services qui leur sont destinées.

C’est ce deuxième critère, dit du "ciblage", qui étend le plus le champ d’application du droit européen des données personnelles. En effet, n’importe quel traitement directement lié à des résidents européens relèvera, à compter du 25 mai 2018, du Règlement sur la protection des données ; tant les responsables de traitements que leurs sous-traitants devront se conformer à ces nouvelles obligations. 

Attention : il conviendra d’être particulièrement attentifs au respect de leurs obligations par les éventuels sous-traitants situés en-dehors de l’Union européenne, lesquels seront - tout autant que les opérateurs européens - contraints d’adapter leurs pratiques pour les traitements de données relevant du Règlement.

2. Qu’est-ce qu’un sous-traitant au sens du droit européen ?

Est un sous-traitant au sens du Règlement européen sur les données personnelles toute personne qui traite des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement qui détermine quant à lui "les finalités et les moyens d’un traitement". C’est ainsi notamment le niveau d’instructions données par le client au prestataire et le degré d’autonomie de ce dernier qui permettront de délimiter les rapports entre le responsable de traitement et le sous-traitant.

Il découle de cette définition particulièrement large qu’une très grande variété de prestataires de services peut se voir reconnaître la qualité de sous-traitant dans la mesure où il n’est pas distingué en fonction des tâches des différents opérateurs. Un sous-traitant peut ainsi indifféremment se voir assigner une mission précise (envoi de courriers) ou plus générale (externalisation d’un service d’une autre entreprise comme la gestion du marketing par une agence spécialisée par exemple).

Plus généralement, tout organisme – y compris public ou associatif – qui fournit une prestation impliquant un traitement de données à caractère personnel pour le compte d’un partenaire est directement concerné par le nouveau Règlement.

Attention : une même structure peut être à la fois sous-traitant pour ses clients et responsable de traitement pour son propre compte (notamment dans le cadre de la gestion de son personnel). C’est d’ailleurs généralement le cas.

3. Quelles nouvelles obligations pour les sous-traitants ?

L’article 28 du Règlement prévoit que les sous-traitants doivent offrir à leur client "des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée".  Cette disposition met à la charge des sous-traitants un devoir de conseil et d’assistance relativement à la conformité du traitement avec certaines des obligations issues du droit européen : analyses d’impact, notifications de violation, sécurité, destruction des données, contribution aux audits…

Cela implique, non seulement une obligation de transparence et de traçabilité, mais également le recours à des outils, produits, applications et services qui intègrent de façon effective et a priori les principes relatifs à la protection des données personnelles des individus concernés, tout comme la possibilité laissée au responsable du traitement de ne collecter que les données absolument nécessaires à la finalité de celui-ci et de contrôler les droits d’accès à ces données.

Le sous-traitant doit également désormais contribuer à la protection des informations qui lui sont confiées en garantissant la confidentialité de celles-ci et en notifiant à son client toute éventuelle violation qui pourrait intervenir. 

Enfin, les professionnels du traitement de données se voient chargés de l’obligation de garantir (i) l’exercice de leurs droits par les personnes concernées par les traitements de données et (ii) la suppression des données sur instruction du responsable du traitement.

*     *     *

Concrètement, les sous-traitants de traitements de données personnelles ont la charge de leur mise en conformité avec le Règlement européen, laquelle exige a minima :

- l’analyse et la révision de l’ensemble de leurs contrats clients (notamment relativement à leurs clauses de confidentialité) ;

- le cas échéant l’adaptation de leurs contrats de travail, notamment relativement au niveau de confidentialité imposé à leurs salariés ;

- la création en interne d’un registre des traitements permettant d’assurer la documentation de leurs obligations ;

- l’éventuelle nomination d’un délégué à la protection des données chargé de piloter la conformité au Règlement (pour les organismes publics, en cas de suivi régulier et systématique des personnes à grande échelle, ou encore en cas de traitement à grande échelle de données dites sensibles ou relatives à des condamnations pénales et infractions).

Seule une anticipation raisonnée de l’entrée en vigueur des nouvelles dispositions permettra aux opérateurs d’éviter la mise en cause systématique de leur responsabilité par leurs clients, et ce d’autant plus que les plafonds des sanctions administratives prévus par le Règlement européen – outre les sanctions pénales désormais encourues – sont largement supérieurs à ceux précédemment prévus par le droit français et se veulent extrêmement dissuasifs :

- 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial s’il dépasse ce montant pour des manquements liés au respect de la confidentialité des données ;

- 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial s’il dépasse ce montant pour des manquements aux droits des personnes (droit d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, …).

Notre cabinet accompagne depuis plusieurs mois ses clients, non seulement dans l’identification des rapports contractuels impactés par l’entrée en vigueur du nouveau règlement en vue de la révision des conventions concernées, mais également dans la rédaction de chartes propres à la gestion des données personnelles permettant une responsabilisation de l’ensemble des parties concernées ou encore dans le processus de nomination du futur délégué à la protection des données.