a

Responsable de traitements et sous-traitant : une responsabilité conjointe

< Rapport d'information >

Alors que la directive 95/46/CE concerne essentiellement les responsables de traitement (46), le règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement. En effet, le considérant 18 précise que le règlement s’applique « aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques » ( 47 ).

Le règlement « égalise » les obligations applicables aux sous-traitants et aux responsables de traitements, qui verront leur responsabilité conjointement engagée en cas de manquement.

La question de la responsabilité conjointe des responsables de traitement et des sous-traitants a fait l’objet de débats nourris au Parlement européen, ce dernier étant favorable à l’affirmation d’une responsabilité solidaire, quels que soient le type de manquement et son origine. La France, à l’instar de certaines autres délégations, préférait une responsabilité conjointe, afin d’apporter une meilleure sécurité juridique aux entreprises quant aux conditions dans lesquelles leur responsabilité pouvait être engagée, compte tenu par ailleurs du niveau très élevé des sanctions encourues (48) . C’est cette option qui a été retenue.

Comme le prévoit actuellement la directive, le règlement précise que le responsable de traitements ne peut faire appel qu’à des sous-traitants présentant des garanties suffisantes permettant de répondre aux exigences du règlement. À ce titre, l’adhésion du sous-traitant à un code de bonne conduite (article 40 du règlement) ou à un mécanisme de certification approuvé (article 42 du règlement) constitue une forme de garantie.

Si le principe de contractualisation entre le responsable de traitements et le sous-traitant reste en vigueur, le contenu du contrat est, lui, enrichi. Ce dernier doit dorénavant préciser les obligations mises à la charge du sous-traitant qui peut désormais être tenu responsable de ses manquements au titre de la protection des données. Il définit notamment, en application du paragraphe 3 de l’article 28 du règlement « l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement ».

Par ailleurs, la possibilité laissée à un sous-traitant de sous-traiter tout ou partie de la prestation qui lui a été confiée doit faire l’objet d’un accord écrit préalable du responsable de traitement. Les obligations contractuelles que le responsable de traitement aura mises à la charge du sous-traitant de premier rang seront répercutées aux prestataires de second rang (article 28 paragraphe 2 du règlement).

Lors de son audition par la mission, M. Massimo Bucalossi, vice-président de la commission « intranet et nouvelles technologies » du Conseil national des barreaux, a salué la reconnaissance de la responsabilité des sous-traitants en faisant remarquer que ces derniers pouvaient en pratique traiter davantage de données personnelles que les responsables de traitement. C’est le cas par exemple des sociétés qui font du « mailing » (49) pour des associations.

< Rapport d'information >