Pour les entreprises de technologies informatiques, le rapport clients et sous-traitants n’est pas clair
Le RGPD ouvre de belles perspectives financières aux prestataires informatiques. Revers de la médaille, ces entreprises risquent de se voir transférer certaines obligations qui ne leur incombent pas. Les qualifications de chaque partie et le contrat les liant doivent donc faire l’objet d’une attention minutieuse.
Comment répartir la responsabilité entre prestataires et sous-traitants ?
Le RGPD entré en vigueur le 25 mai 2018 est une véritable opportunité commerciale pour les entreprises du numérique. La mise en conformité devrait ainsi coûter quelque 958 millions d’euros au secteur en 2018, selon les propos du président de Syntec Numérique (syndicat professionnel des entreprises de services du numérique).
Il est tentant pour les entreprises de services du numérique (ESN) de transférer l’intégralité de la responsabilité d’un traitement de données numériques à leurs sous-traitants. C’est en tout ce cas ce que révèle un communiqué de Syntec Numérique du 31 mai 2018. Ainsi, « les responsables du traitement (donneurs d’ordre) pourraient en effet chercher à transférer l’intégralité de leurs risques à leurs fournisseurs (prestataires), se déchargeant par là même de leurs obligations ». Et visiblement, la pratique est d’ores et déjà en cours dans le secteur et va à l’encontre des principes édictés par le RGPD. Le syndicat incite donc les ESN à se montrer vigilantes quant à la répartition des responsabilités dans le contrat, pour ne pas que certaines d’entre elles se retrouvent lésées. La question se pose donc : qui est responsable ou co-responsable du traitement, le client ou le prestataire ? Le syndicat apporte une réponse : dans la majeure partie des contrats de prestations informatiques (infogérance, hébergement de sites…), c’est le client qui se voit attribuer la casquette de responsable du traitement.
Le contrat au cœur de la relation client/prestataire
Il appartient au client de déterminer la finalité du traitement et les moyens pour le conduire. Le prestataire de son côté reçoit la qualification de sous-traitant, puisqu’il agit sur l’instruction et sous l’autorité du client et pour le compte de ce dernier. La qualité de chacune des parties est importante, puisqu’elle conditionne la responsabilité de celles-ci en cas de non-conformité aux prescriptions du RGPD. Il n’est en revanche pas certain que le cadre contractuel soit suffisant pour déterminer la qualification du client et du prestataire de service. Il y a même fort à parier que les tribunaux et les organes de contrôles européens, comme la Cnil en France, aient à se pencher sur le sujet lors d’un litige entre les parties et à requalifier les qualifications.
Le contrat ne doit pas non plus permettre au client de transférer ses obligations à son prestataire. En effet, selon le RGPD, celles-ci sont déterminées en fonction de la qualification des parties.
Le sous-traitant ne doit pas devenir un simple exécutant
Mais alors qu’en est-il des clauses d’assurance, limitatives de responsabilité ou d’attribution de celle-ci à l’une des parties ? Le RGPD ne donne pas la réponse, il appartient au G29, le regroupement des organes de contrôle européens, de donner son avis.
En outre, dans le cadre d’une sous-traitance en cascade, il appartient à la partie qui est en rapport direct avec le client de solliciter au préalable l’autorisation écrite de celui-ci. Cette autorisation, qui peut être générale ou concerner certains points du traitement, n’est pas définitive. En clair, le prestataire sous-traitant devra informer le client de tout changement pour que ce dernier puisse éventuellement s’y opposer.
Dans tous les cas, le sous-sous-traitant se voit imposer les mêmes obligations quant à la sécurité des données personnelles. Le sous-traitant originel, quant à lui, supporte l’entière responsabilité devant le client de l’exécution par le sous-sous-traitant de ses obligations.
Rappelons également que le prestataire se voit imposer par le RGPD l’obligation d’informer le client si l’une de ses instructions pour le traitement des données n’est pas conforme au règlement. Il ne peut pas se contenter d’être un simple exécutant, sous peine d’être lui-même retoqué par la Cnil.