Sélectionner une page

Tensions sur les négociations responsable(s) de traitement/sous-traitant(s)

L’entrée en vigueur du RGPD a créé un électrochoc dans l’esprit collectif, eu égard aux sanctions financières encourues pour violation de la réglementation, créant une pression nouvelle sur les négociations contractuelles entre entreprises et sous-traitants en particulier (c’est à dire toute personne physique ou morale, autorité publique, service ou organisme qui traite les données à caractère personnel pour le compte du responsable du traitement et pas seulement le sous-traitant au sens, en France, de la loi n° 75-1334 du 31 décembre 1975).

Le montant des (nouvelles) amendes administratives encourues effraye

 Au risque de voir sa responsabilité civile et/ou pénale engagée, à celui d’avoir à indemniser les victimes de violation de sécurité et de payer les amendes pénales correspondantes (jusqu’à 1,5 millions d’Euros pour une entreprise en France en fonction du type d’infraction commise) s’est ajouté le risque, pour  tout responsable de traitement et tout sous-traitant, de se voir imposer une véritable amende administrative par la CNIL, effective et dissuasive (selon le type de violation jusqu’à 10 ou 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu).

Certes toutes ces sanctions pourront ne pas être encourues ou même appliquées.

En ce qui la concerne, l’amende administrative devra en tout état de cause être proportionnée à la gravité de la violation en tenant compte en particulier (considérant 83 du RGPD) de la nature, de la gravité et de la durée de la violation, de son caractère délibéré ou non, des catégories de données concernées, du degré de responsabilité du ou des responsable(s) de traitement(s) et/ou du/des sous-traitant(s),  des mesures prises par ce/ces dernier(s) pour atténuer les conséquences de la violation, voire même du degré de coopération avec la CNIL dans le process de contrôle, d’instruction et de sanction engagé par l’autorité de contrôle. Qui plus est, la décision de sanction de la CNIL et le montant de l’amende lui-même pourront être contestés, en France, devant le Conseil d’Etat.

Contrat de sous-traitance et plafond de responsabilité

Reste que la crainte de se voir puni très sévèrement sur le plan financier par la CNIL existe, pour les responsables de traitement comme pour les sous-traitants, et a rendu, de l’aveu des juristes rencontrés ces derniers mois, la négociation des plafonds de responsabilité dans les contrats de sous-traitance particulièrement sensible et pénible.

Il n’est pas question ici de faire simplement application d’un modèle ou d’une clause type ou d’une « policy » contractuelle que l’autre partie n’acceptera pas, souvent par principe, ou simplement parce qu’elle dispose pas du mandat pour discuter le point…

Le point de vue du responsable du traitement

Il s’agit des situations où le sous-traitant est beaucoup plus puissant que le responsable, lorsqu’il fournit ses services en mode Cloud ou lorsque le sous-traitant est, de fait, incontournable sur le marché.  Le sous-traitant cherchera alors à soumettre l’ensemble des conséquences dommageables de sa responsabilité à un plafond financier, souvent sans rapport avec l’objet du contrat, voire à imposer ses exclusions de responsabilité que le responsable de traitement pourra trouver inacceptables.

Il n’est pas question ici  d’aborder la situation sous l’angle des vices du consentement ou de sa régularité au regard des principes posés par le droit de la concurrence.

Dans cette situation, une attention toute particulière devrait être portée sur la question de la limitation de la responsabilité du sous-traitant au moment de sa sélection et de la rédaction du RFP s’il existe. Le message devrait passé à l’acheteur de l’importance de ce critère « plafond de responsabilité » : le refus, pour un sous-traitant, d’assumer la totalité de l’amende administrative qui pourrait être prononcée contre le responsable du traitement pour une violation du RGPD et de la réglementation applicables, dès que cette violation est exclusivement imputable au sous-traitant devrait, par principe, conduire à son exclusion du process de sélection. Si, comme dans beaucoup d’entreprises, le juriste interne n’est pas entendu sur ce point, la direction générale et  la direction financière doivent en être informées sans délai pour que ce risque financier non négligeable puisse être apprécié à sa juste valeur dans la décision de GO/NO GO qui devrait en principe clôturer le process d’achat. Bien sûr, le responsable de traitement pourra, dans le cadre d’une procédure de Risk Management éprouvée, chercher à mettre en place des mesures techniques et organisationnelles renforcées (comme par exemple la multiplication des tests et des audits), mais il ferait sens alors  de reporter la charge du coût financier du renforcement de ces mesures sur le sous-traitant.

Le point de vue du sous-traitant

La situation est bien connue : le client se pose en mastodonte et fait mine de s’offusquer de ce qu’un sous-traitant se risque à lui proposer un plafond de responsabilité. Autre hypothèse : le sous-traitant est prêt à accepter tous les risques pour conquérir ce nouveau compte quitte à mettre en danger la santé financière de la structure.

Il est rappelé que l’objet de cet article n’est pas d’apprécier la situation sous l’angle des vices du consentement ou de sa régularité au regard des principes posés par le droit de la concurrence.

Dans cette situation, il est important de relever la pratique des contrats IT en particulier est de négocier des plafonds à la responsabilité du fournisseur, quel que soit le poids respectif des parties. Le responsable du traitement ne devrait pas pouvoir s’en exonérer, pour autant que le sous traitant accepte d’assumer intégralement les amendes administratives prononcées contre le responsable du traitement pour une violation du RGPD et de la réglementation applicables exclusivement imputable au sous-traitant. Là encore, le sous-traitant pourra s’atteler à mettre en place des mesures techniques et organisationnelles renforcées pour atténuer les risques que le responsable de traitement chercherait à faire peser indûment sur lui mais il pourrait alors chercher reporter la charge du coût financier du renforcement de ces mesures sur le responsable du traitement.

Reste que la négociation des plafonds de responsabilité dans un contrat commercial n’est pas choses nouvelle.

Il s’agit surtout, pour le juriste du responsable du traitement, d’avoir la juste compréhension du service fourni par le sous-traitant et de son organisation interne,  pour travailler efficacement le champ des obligations du sous-traitant et opérer un filtre entre les obligations pouvant recevoir un plafond et les autres. Pour le juriste du sous-traitant, il pourra s’agir de comprendre le service attendu par le responsable du traitement, son organisation et notamment les moyens humains qu’il est prêt à allouer à sa relation avec le sous-traitant.

Le challenge de la négociation du contrat de sous-traitance est d’aboutir à une répartition des responsabilités éclairée entre le responsable du traitement et le sous-traitant, à ce que les risques soient identifiés et surtout compris de chaque côté, pour que chacun assume la responsabilité liée à ses seuls manquements et, s’il ne le peut pas, que la gestion de ce risque financier (voire de son partage) fasse l’objet d’une discussion ouverte avant signature du contrat.

Pour garder l’esprit de coopération insufflé par le RGPD.

Olivier Soulaire

Avocat à la Cour

21 mars 2019.

osoulaire@soulairelegal.com

www.soulairelegal.com

Crédit Photo – Deppositphotos 2019