Entre autres apports majeurs, le (désormais plus si) nouveau Règlement Général sur la Protection des Données (GDPR) prévoit, à son article 28, l’obligation d’encadrer toute sous-traitance d’un traitement de données à caractère personnel par un contrat (ou par tout “autre acte juridique au titre du droit de l’Union ou du droit d’un État membre“), lequel doit être écrit (article 28.9) et contenir un certain nombre de clauses obligatoires (article 28.3). Cette obligation compte à l’évidence parmi celles nécessitant le plus d’efforts et de diligence de la part des entreprises et organismes publics concernés, dans la mesure où elle leur impose dans la plupart des cas de revenir à la table des négociations (pour les contrats en cours ne présentant pas le niveau de conformité requis), ou à tout le moins d’y prolonger leur séjour (pour les contrats nouveaux à négocier).
Curieusement, pourtant, le GDPR fait le choix d’une formulation suffisamment neutre (“le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre“) pour ne pas indiquer qui, du responsable du traitement ou du sous-traitant, sera in fine responsable de l’absence d’un contrat conforme aux exigences de son article 28. Difficile ainsi de savoir laquelle des parties a le plus d’intérêt à être à l’impulsion des négociations (du point de vue du strict risque juridique, du moins), et il pourrait être tentant par exemple pour un sous-traitant de se réfugier derrière l’absence de diligence du responsable du traitement.
En réalité, le législateur européen semble avoir fait le choix délibéré de laisser, par son silence, une vraie marge de manoeuvre au bénéfice des autorités de contrôle – lesquelles peuvent d’ailleurs toujours, de façon générale, répartir leurs sanctions compte tenu du “degré de responsabilité [respectif] du responsable du traitement ou du sous-traitant” (article 83.2.d). Ces autorités n’ont d’ailleurs pas tardé à laisser entendre que, selon elles, la charge de cette obligation est partagée : ainsi de l’ICO britannique (“The GDPR imposes a legal obligation on both parties to formalise their working relationship“) ou de la CNIL (“Vous [le sous-traitant] devez […] établir avec votre client un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen“).
Il y a fort à parier que ce partage sera conduit de façon largement casuistique, en tenant compte, notamment, du rapport de force commercial entre responsable du traitement et sous-traitant ; les prestataires de services en ligne d’envergure mondiale, dont les conditions générales sont souvent autant de purs contrats d’adhésion, semblent ainsi avoir tout intérêt à prendre en charge la mise en conformité de ces dernières, fussent-ils “simples” sous-traitants.