EDIT au 27 novembre 2018 : Les lignes directrices du Comité Européen de la Protection des Données, longtemps attendues, ont fini par apporter une réponse à cette Shower Thought. En un mot, cette réponse est oui. On vous laisse apprécier le détail du raisonnement du CEPD dans les dites lignes directrices (non définitives) (pages 10 et suivantes).
On le sait bien désormais : l’une des principales innovations du nouveau Règlement Général sur la Protection des Données (GDPR) est de s’intéresser d’un peu plus près à la figure du sous-traitant, en introduisant pour lui un régime de responsabilité à part entière ainsi qu’une série d’obligations propres. L’article 28, en particulier, impose à responsable de traitement et sous-traitant de conclure un contrat réglementé, contenant, pour encadrer les opérations de traitement confiées au second par le premier, un certain nombre de clauses obligatoires.
Le texte ne dit pas, cependant, si un tel contrat s’impose uniquement lorsque les deux parties sont situées dans le champ d’application territorial du GDPR, tel que précisé à son article 3, ou également lorsque l’une des deux seulement s’y trouve.
A la première moitié de ce mystère, la pratique semble déjà apporter une réponse intuitive : lorsque le responsable de traitement est soumis au GDPR, il impose à son sous-traitant, que celui-ci le soit ou non lui-même, le fameux contrat de l’article 28. Mais quid de l’hypothèse inverse, où par exemple un sous-traitant établi dans l’Union, et partant soumis au GDPR, travaillerait pour le compte d’une entreprise américaine, traitant des données de personnes situées aux Etats-Unis uniquement, et par conséquent non sujette elle-même au règlement européen ? La conclusion d’un contrat réglementé façon article 28 aurait dans un tel cas peu de sens, dans la mesure notamment où il contient des références à des obligations du responsable de traitement prévues par le GDPR lui-même, non applicables ici par hypothèse.
Et pourtant : à s’en tenir à la lettre de l’article 3 du règlement, il semblerait que celui-ci s’applique non pas à raison de l’entité (rationae personae), mais bien à raison du traitement (rationae… traitementae) – et qu’à cet égard, la simple localisation du sous-traitant dans l’Union suffise à déclencher son application pleine et entière. Selon les termes mêmes du GDPR, celui-ci s’applique en effet “au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union” ; cela signifie-t-il que le simple recours à un sous-traitant situé dans l’Union suffirait à imposer à notre responsable de traitement américain, qui ne s’occupe pourtant de données que d’américains, de respecter le droit européen ? En fait d’extra-territorialité, on toucherait ainsi à l’extrême limite.
Osons quand même, pour ne pas rester en peine, une proposition d’interprétation plus raisonnable : le texte prévoyant des obligations et responsabilités à la charge du responsable de traitement d’une part, et d’autre part du sous-traitant, son champ d’application semble plutôt devoir être “ventilé” selon la localisation, notamment, de l’un et de l’autre. De ce point de vue, l’article 28 créant une obligation manifestement imputable au responsable de traitement et non au sous-traitant (il appartient au responsable de sous-traitant de s’assurer qu’un contrat est conclu conformément aux exigences de l’article), il ne devrait s’appliquer, par conséquent, que dans la mesure où le responsable de traitement remplit, lui-même, les critères d’application de l’article 3.