Vendredi 27 Mars 2020
Les premières clauses contractuelles types pour la sous-traitance ont été adoptées par l’autorité de contrôle danoise de la protection des données personnelles et sont publiées sur le Registre du CEPD depuis février 2020.
Le Règlement (UE) 2016/679 - Règlement Général sur la Protection des Données du 27 avril 2016 (ci-après « RGPD ») - a introduit une nouvelle logique de responsabilisation des acteurs de la protection que sont le responsable du traitement des données personnelles (qui décide des objectifs et des moyens du traitement), d’une part, et le sous-traitant (qui agit sous les instructions du responsable), d’autre part. Depuis le 25 mai 2018, date d’entrée en application du RGPD au sein de l’Union européenne, la sous-traitance d’un traitement de données personnelles doit faire l’objet « d’un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre » qui « définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement » conformément à l’article 28 du RGPD. Cet article précise les mentions de base que doit prévoir le contrat de sous-traitance et également la possibilité d’adoption de clauses contractuelles types élaborées par la Commission européenne (article 28-7) ou par une autorité de contrôle sous réserve de la validation du Comité Européen de la Protection des Données (ci-après « CEPD »).
Les premières clauses contractuelles types pour la sous-traitance ont été adoptées par l’autorité de contrôle danoise de la protection des données personnelles (homologue de la Commission Nationale de l’Informatique et des Libertés/CNIL) et sont publiées sur le Registre du CEPD depuis février 2020.

1. Élaboration et synthèse du contenu des clauses contractuelles types danoises

En avril 2019, un projet de clauses contractuelles types élaborées par l’autorité de contrôle danoise (DATATILSYNET) a été soumis au CEPD aux fins de validation conformément au mécanisme de contrôle de la cohérence prévu aux articles 63 et 64 du RGPD. Pour rappel, ce mécanisme habilite le CEPD à émettre des avis et à coopérer avec les autorités de contrôle de protection des données personnelles européennes, « chaque fois qu'une autorité de contrôle compétente envisage d'adopter » certaines mesures parmi lesquelles l’élaboration de clauses contractuelles types. L’objectif est de contribuer à une approche harmonisée des modèles contractuels entre les États assujettis au RGPD. Dans son Avis 14/2019 de juillet 2019 sur le projet présenté par l’autorité de contrôle du Danemark, le CEPD avait proposé des modifications qui ont été suivies. En conséquence, la version définitive des clauses contractuelles types danoises pour la sous-traitance a été adoptée en décembre 2019 pour être publiée par le CEPD début février 2020.
Ces clauses reprennent les points clefs de l’article 28 du RGPD et constituent désormais le modèle officiel danois de contrat de sous-traitance pour le traitement des données personnelles. Il n’est pas obligatoire mais pourra être opposable à l’autorité de contrôle danoise notamment en cas de contrôle, s’il est utilisé tel quel. Le cas échéant, il est possible d’y intégrer des dispositions complémentaires, plus protectrices des données personnelles...
Le jeu de clauses comprend 15 articles et 4 annexes (A/Descriptif du traitement ; B/Sous-traitants ultérieurs autorisés ; C/Instructions ; D/Dispositions relatives aux autres activités non couvertes par les clauses). Il reprend et précise fortement les mentions de l’article 28 du RGPD. Ainsi, à titre d’exemple : i) pour l’obligation de sécurité, les clauses prévoient que le sous-traitant doit évaluer les risques inhérents au traitement indépendamment de l’analyse menée par le responsable du traitement ; ii) en cas de sous-traitance en cascade, une copie de l’accord avec le(s) sous-traitant(s) ultérieur(s) doit être transmise au responsable du traitement à première demande afin qu’il puisse s’assurer que les mêmes obligations pour la protection des données que celles prévues par les clauses sont imposées au(x) sous-traitant(s) ultérieur(s) ; iii) une clause de tiers bénéficiaire est à prévoir pour le responsable de traitement afin de lui permettre d’être en relation directe avec le(s) sous-traitant(s) ultérieur(s) en cas de défaillance du sous-traitant initial.

2. Applicabilité en France des clauses contractuelles danoises

Même si les clauses contractuelles types danoises sont disponibles en anglais, elles sont constitutives d’un modèle et leur validation par le CEPD interpelle sur leur applicabilité pour les entreprises françaises. N’ayant pas été transposées en France, il n’est pas certain de pouvoir se prévaloir de ces clauses types auprès de la CNIL, lors d’un contrôle notamment. Pour autant, ces clauses pourraient utilement compléter l’exemple de clauses de la CNIL, très largement utilisé depuis sa parution en octobre 2017 bien que non officielles. De fait, les clauses contractuelles types de l’autorité de contrôle danoise constituent un guide complémentaire pour optimiser la rédaction des contrats de sous-traitance portant sur le traitement de données personnelles.
Cela étant, dans le cadre du mécanisme de cohérence, le CEPD reconnaît aux autorités de contrôle « une marge d’appréciation en ce qui concerne le contexte national ou régional » afin de « tenir compte de leur législation locale »…. Les différentes listes de traitements de données soumis à une Analyse d’Impact relative à la Protection des Données (AIVP) qui ont été adoptées par plusieurs autorités de contrôle nationales et validées par le CEPD en attestent. Le CEPD ambitionne donc d’harmoniser les modèles contractuels entre les États sans pour autant fixer un jeu de clauses types unique. Force est de constater que d’autres interprétations de l’article 28 du RGPD sont susceptibles d’être retenues par les différentes autorités de contrôle nationales. Pour rappel, au titre des mesures organisationnelles à prendre par les sous-traitants, dans son exemple de clauses, la CNIL recommande que le sous-traitant veille « à ce que les personnes autorisées à traiter les données à caractère personnel […] reçoivent la formation nécessaire en matière de protection des données à caractère personnel ». Or, cette obligation de formation qui n’apparaît pas expressément dans le RGPD n’est pas non plus inscrite dans le modèle danois !

3. Aggravation de la responsabilité du sous-traitant

Le RGPD ayant introduit des obligations spécifiques pour le sous-traitant, en fonction de la gravité du manquement, cet acteur de la protection est aussi exposé aux sanctions fixées par l’article 83-4 (10 000 000 EUR ou jusqu’à 2% du CA annuel mondial total de l’exercice précédent) et par l’article 83-5 (20 000 000 EUR ou jusqu’à 4% du CA annuel mondial total de l’exercice précédent).
Parallèlement, l’article 82-2 du RGPD prévoit que la responsabilité du sous-traitant puisse être engagée en cas de non-respect de ses obligations prévues par le règlement ou d’agissement en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. S’agissant des obligations liées à la sous-traitance qui sont posées par le RGPD, en substance, elles pourraient être caractérisées par la nécessité de : i) présenter des « garanties suffisantes » pour réaliser les traitements de données qui lui sont confiés par le responsable du traitement, ii) prendre des « mesures techniques et organisationnelles appropriées » dans l’accomplissement de sa mission, iii) aider, assister le responsable à remplir ses obligations de conformité légale. Ces notions, littéralement sujettes à interprétation, ont vocation à être précisées. C’est un des objectifs du contrat liant le sous-traitant au responsable du traitement et, en conséquence, des instructions qui y sont inscrites.
Concrètement, le fait de ne pas suivre les instructions du responsable du traitement est indubitablement répréhensible pour le sous-traitant. Or, une lecture croisée des modèles contractuels français et danois permet d’appréhender la vaste étendue et la granularité des instructions auxquelles le sous-traitant peut être soumis. A l’évidence, plus le contrat est précis, plus la responsabilité du sous-traitant sera susceptible d’être engagée. En conséquence, le sous-traitant doit impérativement redoubler de vigilance quant à la validation des clauses contractuelles le liant au responsable de traitement puisque celles-ci ont pour effet d’accroître ses responsabilités.
Selon les situations de sous-traitance, il est plus que jamais conseillé de procéder à une analyse factuelle des traitements confiés à un prestataire externe (maîtrise des moyens essentiels du traitement de données, notamment). Il convient dès lors de s’interroger sur l’opportunité d’opter pour le statut de responsable conjoint du traitement telle que prévu par l’article 26 du RGPD, en lieu et place de la qualité de sous-traitant. En effet, au vu des circonstances factuelles du traitement de données externalisé, cela permettrait au prestataire de disposer d’une plus grande indépendance et d’une certaine maîtrise quant à l’engagement de sa responsabilité.


Isabelle CANTERO, Avocat associé, Responsable du pôle Vie privée et protection des données personnelles
Caprioli & Associés, Société d’avocats membre du réseau JurisDéfi


Rechercher une autre publication


  • Ajouté : 27-04-2020
  • Visiteurs : 34