Ce document, imprimé le 01-03-2021, provient du site de l'Union des Villes et Communes de Wallonie (www.uvcw.be).
Les textes, illustrations, données, bases de données, logiciels, noms, appellations commerciales et noms de domaines, marques et logos sont protégés par des droits de propriété intellectuelles.
Plus d'informations à l'adresse www.uvcw.be/info/politique-confidentialite

Un prestataire informatique (sous-traitant) veut imposer à un pouvoir local des transferts de données en dehors de l’Union européenne, le peut-il ?

Mis en ligne le 8 Décembre 2020

Avec le RGPD et l’institution d’une autorité de contrôle, des prestataires notamment informatiques ont dû se résoudre à se soucier de la protection des données à caractère personnel et ont souvent proposé des conventions « vite faites, (pas toujours) bien faites » pour « se conformer » au RGPD. A l’analyse de certaines conventions, certains responsables de traitement ont dû constater des propositions mal rédigées, contradictoires, incomplètes et parfois même illégales[1]. Parmi les illégalités les plus inquiétantes, on peut noter que certains n’hésitent pas à (tenter de) réduire leur responsabilité par des clauses limitatives de responsabilité ou à (tenter d’) imposer des transferts de données en dehors de l’Union européenne, sans précaution. Le RGPD encadre pourtant très strictement les transferts de données et un récent arrêt de la Cour de Justice de l’Union européenne a marqué l’été 2020[2].

Pour répondre à la question ici soumise, quelques rappels s’imposent.

Au sens du RGPD, un sous-traitant est une personne, physique ou morale, qui traite des données à caractère personnel pour le compte d’un responsable de traitement. Le responsable de traitement est, lui, la personne physique ou morale qui effectue des traitements[3] de données à caractère personnel en déterminant la finalité et les moyens de ces traitements (c’est-à-dire le pourquoi et le comment des traitements).

Lorsqu’une commune ou un CPAS recourt aux services d’un prestataire informatique pour disposer d’un logiciel de gestion de la paie, un logiciel de gestion de la facturation au sein d’une maison de repos ou encore de gestion des dossiers d’urbanisme, il est a priori considéré comme un responsable de traitement sous-traitant certains traitements de données à caractère personnel à un prestataire informatique en général qualifié de sous-traitant. Ce « sous-traitement » est fait, en principe, sous la responsabilité du pouvoir local qui encourt une responsabilité pénale, civile et même administrative si le RGPD n’est pas respecté. Il arrive fréquemment que ce sous-traitant « sous-sous-traite » certaines opérations (par exemple, le stockage des données ou le développement informatique de certaines fonctionnalités impliquant des données à caractère personnel) à des sous-traitants ultérieurs localisés en dehors de l’Union européenne. Il s’agit alors d’un transfert de données en dehors de l’Union européenne.

Ces rappels étant faits, revenons à la question : à l’occasion d’une modification de contrat, un sous-traitant peut-il imposer un transfert des données en dehors de l’Union européenne ?

En application du principe selon lequel les conventions tiennent lieu de loi[4], une partie ne peut pas (sauf exceptions) modifier, sans le consentement de l’autre partie, le contrat qui les lie. Les parties doivent donc trouver un terrain d’entente. En outre, il ne faut pas oublier que ces contrats s’inscrivent en principe dans la réglementation des marchés publics et que les modifications de marché public sont très strictement encadrées et même limitées[5]. Enfin, sous l’angle du RGPD, les sous-traitants doivent respecter les instructions imposées par les responsables de traitement et ne sont donc pas les donneurs d’ordres. De plus, les responsables de traitement et les sous-traitants ne peuvent pas faire des transferts de données en dehors de l’Union européenne comme ils veulent. Il est de leur responsabilité de respecter ce que prévoit le RGPD[6]. On retiendra que les données, même transférées en dehors de l’Union européenne, doivent être protégées de manière équivalente à la protection européenne. De manière succincte, retenons qu’il existe trois hypothèses de transfert envisageables : soit l’on peut bénéficier d’une décision d’adéquation de la Commission européenne pour le pays tiers concerné ; soit l’on peut utiliser dans certaines hypothèses de clauses type de protection validées par la Commission européenne voire par l’Autorité de contrôle ; soit on peut encore faire valoir des règles d’entreprise contraignantes. Si le sous-traitant peine à justifier de manière convaincante et étayée que le transfert proposé correspond à une des hypothèses autorisées, le transfert en dehors de l’Union européenne risquerait d’être contraire au RGPD et pourrait donner lieu à des sanctions pénales, civiles et administratives à l’encontre du responsable de traitement et du sous-traitant.

Pour plus de renseignements et de précisions, consultez l’article consacré à la question des transferts de données en dehors de l’Union européenne et l’arrêt « Schrems II » et disponible ici.

 

 


[1] Pour approfondir le thème de la sous-traitance, le lecteur consultera notamment : http://www.uvcw.be/articles/3,902,2,0,7457.htm et http://www.uvcw.be/publications/modeles/modele-7460.htm.
[2] Pour creuser ces questions, le lecteur consultera utilement un article plus complet disponible ici.
[3] Le traitement de données consiste notamment en le stockage de données, consultation, l’utilisation, la transmission ou encore la suppression de données à caractère personnel.
[4] Art. 1134, al. 1er du Code civil.
[5] Art. 37 et s. de l’arrêté royal du 14 janvier 2013 établissant les règles générales d’exécution des marchés publics.
[6] Art. 44 du RGPD.

L'auteur

Marie-Laure Van Rillaer

Conseiller expert à l'Union des Villes et Communes de Wallonie

Conseiller juridique à l’UVCW, elle travaille plus particulièrement les matières des marchés publics, de la protection de la vie privée et des technologies de l’information et de la communication (TIC). Elle est facilitatrice "clauses sociales".

Lire aussi

Date de mise en ligne

8 Décembre 2020

Type de contenu

Q/R
>