Puis-je engager la responsabilité d’un organisme sous-traitant en cas de vol de mes données personnelles ?
En droit des données personnelles, le règlement européen sur la protection des données (RGPD), applicable à partir du 25 mai 2018, renforce la protection des données personnelles. Pour cela, ce règlement consacre une responsabilité autonome du sous-traitant en dehors de celle du responsable de traitement des données personnelles.
RGPD et sous-traitant
L’article 4 du règlement définit le sous traitant comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement. Ainsi, nombreuses sont les personnes pouvant être considérées comme sous-traitantes tant cette définition est large. En effet, tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme sera considérée comme sous-traitante. Par exemple, les prestataires de services informatiques, les agences de communication ou de marketing qui traitent des données personnelles pour le compte de clients. Cette qualification peut ainsi être étendue tant à des associations qu’à des organismes publics.
De plus, le règlement s’applique tant aux sous traitants établis en Europe qu’aux sous traitants non établis en Europe dans deux hypothèses : « si l’activité de traitement est liée à l’offre de biens ou de services à des personnes concernées dans l’Union Européenne ; ou si l’activité est liée au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union » (article 3 du règlement européen).
Auparavant, ou du moins jusqu’à l’entrée en vigueur du règlement, le sous-traitant n’avait pas d’obligations propres et ne pouvait donc pas voir sa responsabilité engagée à ce titre. De même, il n’était pas non plus possible d’engager conjointement la responsabilité du responsable de traitement et du sous traitant y compris pour des manquements qui incombaient à ce dernier. Dès lors, le responsable de traitement était toujours sanctionné, charge à lui par la suite d’engager une action récursoire en cas de manquement aux obligations contractuelles contre son sous-traitant. Ce qui pouvait être gênant lorsque le responsable du traitement n’avait en définitive pas commis de faute.
Les apports du RGPD concernant le sous-traitant
Désormais, le règlement en son chapitre IV impose des obligations propres au sous-traitant. Le sous traitant dispose d’une obligation de transparence, de traçabilité et de sécurité des données traités. De même, il a une obligation d’assistance, d’alerte et de conseil envers le responsable du traitement des données. Cette dernière obligation est discutée par la doctrine, tant cette obligation apparaît comme lourde pour le sous-traitant. Les décisions des juridictions européennes viendront par la suite éclairer les praticiens quant à la limitation du champ d’application de cette obligation.
Le rôle de l’avocat dans l’exercice de son devoir de conseil pour son client va être de vérifier la conformité du sous-traitant au règlement. En effet, les contrats de sous-traitance en cours d’exécution et à venir devront contenir des clauses obligatoires concernant la protection des données personnelles prévues par le règlement européen. Par exemple, l’article 30.2 du règlement dispose que le sous-traitant doit tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement. La mise en conformité passe aussi par l’obligation pour le sous-traitant de désigner un délégué à la protection des données.
Enfin et pour finir, la responsabilité du sous-traitant pourra être engagée par toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen. Le sous traitant s’expose alors à des sanctions administratives considérables pouvant s’élever, selon la catégorie de l’infraction, 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 2% ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé́ étant retenu. Ces sanctions peuvent s’appliquer en cas de manquement aux obligations sus-citées.
