Dans notre deuxième article sur les contrats de sous-traitance (Data Processing Agreements (DPA)), nous approfondissons et plongeons dans des scénarios pratiques et des dispositions clés, en s’appuyant sur notre discussion précédente concernant les éléments essentiels selon le Règlement Général sur la Protection des Données (RGPD) de l’UE et la Loi Fédérale Suisse sur la Protection des Données (LPD). Cette fois, nous nous concentrerons sur des conseils pratiques et des stratégies issues de nos meilleures pratiques LEXR pour vous aider à éviter les pièges courants.
Propriété des données
La définition de la propriété des données peut également être abordée dans les contrats de sous-traitance. Typiquement, ces clauses visent simplement à préciser que les données personnelles restent la propriété du responsable du traitement, même lorsqu’elles sont traitées par le sous-traitant. Cependant, ces clauses parfois vont au-delà des données personnelles et abordent également la ‘propriété’ potentiellement très précieuse des données non personnelles.
Dans le paysage juridique, le concept de ‘propriété des données’ est difficile car les données (personnelles ou non), en elles-mêmes, ne sont pas ‘possédées’ au sens traditionnel. Toutefois, l’essence des clauses de propriété des données dans les contrats de sous-traitance réside dans la détermination de qui a le droit de prendre des décisions concernant les données personnelles traitées et d’exercer un contrôle. Dans un contrat de sous-traitance, le responsable du traitement assume ce rôle, tandis que le sous-traitant est instruit de traiter les données personnelles pour le compte du responsable du traitement, dans des limites définies.
Alors que le contrat de sous-traitance décrit des détails spécifiques du traitement des données, les droits et responsabilités plus larges liés à la propriété des données non personnelles sont souvent mieux placés dans le contrat de base lié au contrat de sous-traitance. Cette séparation permet un traitement plus complet des droits et responsabilités sans encombrer le contrat de sous-traitance, qui se concentre spécifiquement sur les détails du traitement et les clauses légales nécessaires d’un point de vue de la protection des données.
Il est recommandé, cependant, que les contrats de sous-traitance déclarent explicitement que toutes les données collectées et traitées appartiennent au responsable du traitement. Ceci est dû au fait que, selon les règles de protection des données, le responsable du traitement est la personne responsable du traitement des données. Le sous-traitant doit opérer strictement sous les instructions du responsable du traitement, ainsi que soit retourner ou supprimer les données après la résiliation, comme nous l’avons décrit dans notre article précédent, en soulignant le rôle du sous-traitant comme une entité agissant uniquement sous les directives du responsable du traitement.
Ainsi, lors de la rédaction d’un contrat de sous-traitance, il est impératif de s’aligner sur les rôles et les droits de propriété des données définis dans le contrat de base. Une incongruité entre les deux documents peut conduire à des implications juridiques complexes. Dans des scénarios où le contrat de base accorde à une partie certains droits de propriété sur des données personnelles, mais que le contrat de sous-traitance désigne cette partie comme un simple sous-traitant, des défis se posent. Considérons qu’un fournisseur de service de newsletter est autorisé, en vertu du contrat de base, à envoyer ses propres publicités à la liste de diffusion de ses clients. En incluant ceci dans le contrat de base, les parties transforment automatiquement le sous-traitant en responsable du traitement pour ces fins publicitaires. Ainsi, synchroniser les rôles devient critique pour éviter des conséquences légales non intentionnelles.
Droits d’audit
Les droits d’audit sont nécessaires pour assurer la conformité avec les lois sur la protection des données et favoriser la transparence dans les relations de traitement des données.
Selon le RGPD, il est obligatoire pour les contrats de sous-traitance de définir que le sous-traitant doit fournir au responsable du traitement toutes les informations nécessaires pour démontrer la conformité avec les obligations prévues par le RGPD. Cela inclut de faciliter et de contribuer aux audits et inspections, qu’ils soient réalisés par le responsable du traitement ou par un auditeur nommé par le responsable du traitement.
Cependant, tout en faisant cela, il est essentiel pour les responsables du traitement et les sous-traitants de savoir que bien qu’ils ne puissent pas supprimer le droit du responsable du traitement à l’audit, ils peuvent le détailler davantage en définissant certains éléments de ce droit :
- Portée des audits : il est conseillé de définir clairement la portée des droits d’audit dans le contrat de sous-traitance. Cela comprend la détermination de la possibilité d’audits sur place ou si les droits d’audit sont limités à l’accès et à l’inspection des registres du sous-traitant, tels que les registres des activités de traitement et les registres des destinataires des données personnelles.
- Coûts : aborder la répartition des coûts d’audit est crucial pour une mise en œuvre pratique. Typiquement, le contrat de sous-traitance désigne le responsable du traitement comme responsable de couvrir les coûts associés aux audits, y compris ceux d’un auditeur indépendant. Il est également important de garder à l’esprit que, quelle que soit la répartition des coûts, les parties ne doivent pas inclure de clauses qui impliquent des frais disproportionnés ou excessifs, dissuadant ainsi le droit d’audit du responsable. Ainsi, lors de la rédaction de ces clauses, les parties doivent s’assurer que les coûts ne soient pas si élevés pour le responsable du traitement que, en pratique, il n’exercerait jamais son droit.
- Limitation de l’accès à l’information : pour protéger la confidentialité du sous-traitant, le contrat de sous-traitance devrait délimiter les informations accessibles lors des audits. L’accès devrait être restreint aux informations nécessaires aux fins du contrat, en sauvegardant les secrets d’affaires et autres informations propriétaires du sous-traitant.
- Périodicité des audits et préavis : le contrat de sous-traitance peut établir la fréquence des audits et le délai de préavis requis avant de mener un audit. Cela fournit une prévisibilité et permet au sous-traitant de se préparer adéquatement pour l’audit. Par exemple, le contrat pourrait stipuler que le responsable du traitement peut mener jusqu’à un nombre spécifié d’audits par an, et un préavis d’un nombre spécifique de jours doit être donné avant d’initier un audit.
Gestion de la responsabilité, de l’indemnisation et de l’allocation des risques
L’allocation des risques entre le responsable du traitement et le sous-traitant peut être un aspect critique du contrat de sous-traitance. En ce sens, il y a typiquement deux clauses clés lorsqu’il s’agit de l’allocation des risques :
- Clauses de responsabilité : les clauses de responsabilité déterminent dans quelles circonstances et dans quelle mesure une partie doit couvrir les dommages qu’elle cause à l’autre partie. Typiquement, les parties conviennent déjà d’un régime de responsabilité dans le contrat de base qui s’applique également au contrat de sous-traitance. Cependant, il est courant que les plafonds de responsabilité ne s’appliquent pas aux violations des lois sur la protection des données et, en tant que tel, la responsabilité n’est souvent pas plafonnée.
- Clauses d’indemnisation : les clauses d’indemnisation ont une portée plus large que les clauses de responsabilité et attribuent typiquement les risques de réclamations de tiers tels que les réclamations par les sujets des données ou les amendes par les régulateurs contre une partie. Sous le régime statutaire de l’Art. 82 du RGPD, à la fois le responsable du traitement et le sous-traitant peuvent être tenus responsables envers les sujets des données directement. Cependant, si par exemple le sous-traitant payait les dommages au sujet des données en totalité même s’il agissait conformément aux instructions du responsable du traitement, le sous-traitant peut réclamer le dommage du responsable du traitement. L’allocation interne des risques de l’Art. 82 du RGPD peut être élargie, par exemple, pour indemniser non seulement pour les dommages, mais aussi pour les coûts juridiques engagés.
Lors de l’inclusion de ces clauses dans votre contrat de sous-traitance, il est important de garder à l’esprit qu’il n’est pas possible de décharger une partie de ses responsabilités sous le RGPD. L’Art. 82 du RGPD établit des normes minimales pour la responsabilité des dommages. Dans quelques décisions récentes, la Cour de Justice de l’Union Européenne (CJUE) a clarifié certains aspects de ces normes. Concernant les contrats de sous-traitance, la CJUE, par exemple, a décidé qu’un responsable du traitement n’est pas responsable si un sous-traitant traite des données personnelles à ses propres fins, s’il agit d’une manière incompatible avec l’accord entre les parties, ou s’il est raisonnable de conclure que le responsable du traitement n’a pas accepté le traitement. Si cela se produit, alors le sous-traitant est traité comme un responsable du traitement et responsable de ses propres actions.
Les clauses de responsabilité et d’indemnisation claires et bien définies protègent les intérêts des deux parties impliquées dans le traitement des données et fournissent un cadre pour aborder la responsabilité en cas de violations de données ou de problèmes de conformité. Cependant, ces clauses doivent être bien rédigées conformément aux lois sur la protection des données ainsi qu’aux aspects du droit civil national applicables et qui peuvent différer d’un pays à l’autre.
Délais
Alors que le RGPD consacre des délais spécifiques pour certaines actions, telles que la notification des violations de données dans les 72 heures aux autorités de surveillance si elles présentent des risques pour les sujets des données, de nombreux aspects sont laissés à déterminer au cas par cas. Avec cela à l’esprit, il y a certains éléments que les parties doivent considérer comme meilleures pratiques lors de la définition des délais appropriés dans leurs contrats de sous-traitance :
- Délais pour la suppression/retour des données personnelles après la fin de l’accord : les parties peuvent convenir que les données doivent être retournées immédiatement après la fin du contrat ou dans un délai spécifié, tel qu’une semaine ou un mois. Il est également important de comprendre que les sous-traitants pourraient avoir besoin de conserver des données pendant des périodes prolongées pour se conformer à d’autres obligations légales ;
- Informer les responsables du traitement des violations de données : une réponse rapide aux violations de données est primordiale. Alors que les responsables du traitement doivent informer les autorités de surveillance dans les 72 heures sous les règles du RGPD, les sous-traitants devraient notifier les responsables dès qu’ils prennent connaissance d’une violation de données. Inclure un délai spécifique dans le contrat de sous-traitance (généralement entre 24 et 48 heures) pour que les sous-traitants informent les responsables améliore la transparence et assure une réponse en temps opportun aux éventuelles violations de données ;
- Période pour s’opposer/autoriser un nouveau sous-traitant : Dans les cas où les responsables accordent une autorisation générale pour l’utilisation de sous-traitants définis, toute modification devrait être communiquée rapidement. Établir une période spécifique pour la notification, permettant aux responsables du temps pour s’opposer, est crucial. Bien que la période appropriée puisse varier d’une situation à l’autre, un point de départ recommandé est de donner au responsable un préavis de 30 jours avant que le sous-traitant engage un nouveau sous-traitant. Si le responsable ne s’oppose pas dans ce délai, alors le sous-traitant peut procéder avec le nouveau sous-traitant. Cela donne aux responsables du traitement une fenêtre raisonnable pour évaluer et s’opposer aux changements proposés. De plus, comme les conséquences de l’opposition ne sont pas expressément régulées dans le RGPD, il est également important de les inclure dans le contrat de sous-traitance. Cela peut inclure, par exemple, la possibilité pour le responsable de résilier le contrat principal si le sous-traitant est incapable d’utiliser un autre sous-traitant. La même chose s’applique pour les cas où le responsable donne une autorisation préalable spécifique au sous-traitant, au lieu d’une générale dans le contrat de sous-traitance. La principale différence est que l’avis donné n’est pas pour objection, mais pour autorisation. En pratique, cela signifie que si, après la période définie, le responsable du traitement n’autorise pas le sous-traitant à utiliser un certain sous-traitant, alors il doit s’abstenir de le faire.
Conclusion
Maintenir les contrats de sous-traitance concis mais en même temps juridiquement solides et pratiquement efficaces peut être un défi. En plus des clauses obligatoires par les lois sur la protection des données (que nous avons discutées dans la première partie de cette série), les contrats de sous-traitance devraient également aborder les sujets suivants :
- Propriété des données : souligner que le responsable du traitement conserve le droit de prendre des décisions concernant les données personnelles, malgré le traitement par le sous-traitant. Bien que les détails sur la question de la “propriété” et des droits d’utilisation soient mieux négociés dans le contrat de base, il est impératif d’aligner les rôles et les droits définis dans ces deux documents (contrat de sous-traitance et contrat de base) pour éviter l’incongruité et les problèmes juridiques complexes ;
- Droits d’audit : Même si les droits d’audit du responsable du traitement ne peuvent pas être renoncés dans un contrat de sous-traitance, définir des détails tels que la portée, le coût, l’accès à l’information et la périodicité des audits peut améliorer la transparence et éviter de longues discussions en cas d’exercice de ce droit par le responsable du traitement ;
- Gestion de la responsabilité : Inclure des clauses d’indemnisation et de responsabilité détaillées apporte une clarté supplémentaire aux deux parties dans les contrats de sous-traitance. Ces clauses délimitent les responsabilités et les répercussions financières potentielles en cas de non-conformité ;
- Délais : Vous devriez définir des délais spécifiques pour la suppression/retour des données, les notifications de violation de données, et les processus d’autorisation de sous-traitant. Ces délais sont essentiels pour la clarté opérationnelle et devraient refléter les capacités commerciales réelles des deux parties.