RGPD et Relations Contractuelles

Le règlement général sur la protection des données « RGPD », applicable depuis le 25 mai 2018, impose de prévoir dans le contrat liant les clients et les prestataires des clauses sur le traitement des données personnelles. Les contrats en cours après le 25 mai 2018 doivent ainsi être modifiés par voie d’avenant.

Cette nouvelle réglementation impose une responsabilisation de tous les acteurs qui traitent des données personnelles. Elle génère de ce fait des négociations contractuelles pouvant mettre à mal le business plan des entreprises. Les responsables du traitement peuvent, en effet, chercher à transférer l’intégralité de leurs risques à leurs fournisseurs, se déchargeant ainsi de leurs obligations.

Cette pratique est à la limite d’une juste éthique des affaires.

L’importance de la qualification des acteurs pour la détermination des obligations de chacun.

Avant de déterminer les mentions qui devront figurer dans le contrat conformément à l’article 28 du RGPD, une étape essentielle consiste pour les parties à qualifier leurs relations : le client est-il responsable du traitement ou responsable conjoint du traitement ? le prestataire informatique est-il sous-traitant ou responsable conjoint du traitement ?

Dans la majorité des contrats de prestations informatiques (maintenance, fourniture de logiciels), le client a la qualité de responsable du traitement en ce qu’il détermine les finalités et les moyens du traitement et le prestataire informatique a la qualité de sous-traitant en ce qu’il traite des données personnelles pour le compte du client. Dans des situations plus exceptionnelles, un client et un prestataire informatique pourront être qualifiés de responsables conjoints du traitement (chacun ayant la qualité de responsable du traitement) en ce sens qu’ils déterminent ensemble les finalités et les moyens du traitement et devront ainsi se répartir les obligations mises à la charge du responsable du traitement par le RGPD.

Cette qualification est importante puisqu’en découleront les obligations respectives du client et du prestataire informatique conformément à ce qui est prévu par le RGPD. Une erreur d’appréciation sur la qualité des parties pourra avoir des conséquences lourdes en termes de responsabilité des parties (en cas de non-respect des obligations).

• Il n’est pas possible de déterminer la qualité des parties uniquement sur un fondement contractuel : une analyse sur la base d’un faisceau d’indices doit être effectuée.
• Il n’est pas possible de transférer certaines des obligations du client, responsable du traitement, sur le prestataire informatique, sous-traitant. De cette qualité découlent les obligations et responsabilités associées.
• Dans la majorité des cas, le client est responsable du traitement et le prestataire informatique est sous-traitant.
• Le sous-traitant peut se voir imposer certaines obligations nouvelles comme la tenue d’un registre de traitement des activités. Mais le client reste tenu de respecter ses propres obligations. Il existe ainsi des obligations communes au sous-traitant et au client. Le sous-traitant est responsable des manquements à ses obligations mais en aucun de ceux aux obligations incombant au client.
• Le sous-traitant peut être tenu pour responsable d’un dommage causé par un traitement s’il a agi en dehors ou contrairement aux instructions du client (par exemple, finalité, durée de conservation, etc.).
• Les personnes concernées peuvent obtenir du sous-traitant ou du responsable du traitement réparation du préjudice subi, chacun des responsables du traitement ou des sous-traitants participant au même traitement pouvant être tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective. Mais, dans ce cas, le sous-traitant pourra réclamer auprès du client ou des éventuels autres sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage.