Le RGPD a rebattu les cartes de la réglementation encadrant la protection des données personnelles à de nombreux égards, avec un contrôle plus strict par la Cnil à partir du 1er avril.
Nous avons demandé à Valérie Chavanne, avocate et fondatrice du cabinet LegalUP Consulting, de rédiger un guide en quatre volets pour les professionnels de la publicité en ligne sur ces évolutions réglementaires, leurs impacts sur la sphère contractuelle ainsi que les enjeux associés.
Ce deuxième volet s’attache à décrire les nouvelles mentions contractuelles principales que les acteurs des médias et de la publicité en ligne, selon leur qualité juridique, doivent intégrer à leurs contrats pour répondre aux exigences du RGPD.
LE CONTEXTE
Notre précédente tribune avait pour objectif de vous donner, en tant que professionnels des médias et de la publicité en ligne, les outils nécessaires afin de déterminer la juste qualité juridique (responsable de traitement, responsable conjoint, sous-traitant) que vous devriez endosser pour chacun de vos traitements de données à caractère personnel, et donc, dans la quasi-totalité de vos contrats.
Nous avons insisté sur l’importance de cette démarche, en soulignant l’existence d’obligations distinctes à respecter en fonction de cette qualité juridique.
Ces obligations prennent notamment la forme de nouvelles mentions contractuelles obligatoires à intégrer à l’intégralité de vos contrats qui concernent (sans forcément s’y limiter) un traitement de données à caractère personnel. Cette tribune a maintenant pour vocation de vous présenter ces principales nouvelles mentions contractuelles obligatoires afin d’assurer la conformité de vos contrats au RGPD.
Les mentions à ajouter dans vos contrats dépendent, comme vous le savez maintenant, de votre qualité juridique, ainsi que de celle de votre cocontractant par rapport au traitement de données à caractère personnel concerné.
C’est pourquoi nous verrons dans un premier temps les mentions concernant les contrats “inter-responsables”, ceux qui concernent plusieurs responsables de traitement indépendants, puis celles concernant les contrats entre responsables conjoints, et enfin les mentions devant apparaître dans les contrats entre responsables et sous-traitants.
Mentions obligatoires dans les contrats inter-responsables de traitement
Nous visons ici dans un premier temps les mentions contractuelles obligatoires qui doivent apparaître dans le cas d’une relation contractuelle entre plusieurs responsables de traitement indépendants.
Avant toutes choses, il est intéressant de noter que, contrairement aux mentions contractuelles obligatoires régissant les relations entre responsables conjoints ou avec un sous-traitant, ce type de relation contractuelle, que nous nommons “inter-responsable”, est encore souvent négligé ou mal compris. Que l’on cherche à expliquer cette méconnaissance par la complexité du sujet, ou l’absence de référence explicite dans le texte du RGPD, il est crucial de clarifier les règles entourant une relation contractuelle qui est en réalité extrêmement courante.
Nous pouvons en effet imaginer toutes sortes de situations inter-responsables, la plus récurrente d’entre elles étant probablement celle où un responsable transfère des données personnelles à un autre responsable (voire plusieurs autres), qui les traite ensuite de manière autonome. Comment encadrer une telle relation contractuelle du point de vue de la protection des données personnelles ?
Remarquons d’abord que l’on ne trouve pas de référence directe et explicite à ce type de relation contractuelle dans le RGPD, et donc que les obligations strictement formelles les encadrant sont relativement peu nombreuses à première vue. Cependant, au-delà de ces obligations formelles, la complexité et les risques associés aux relations “inter-responsables” rendent certaines autres mentions incontournables d’un point de vue économique plus que purement juridique.
Pour décrire ces différents types d’obligations, nous nous baserons sur un exemple. Imaginons une entreprise A, transférant des données à une entreprise B, qui les traite ensuite de manière totalement indépendante. Dans une telle relation “inter-responsables”, nous distinguons une obligation formelle principale, qui est d’intégrer au contrat liant ces entités la finalité pour laquelle ces données seront utilisées par l’entreprise B. La raison est simple : le transfert de données à caractère personnel représente en soi un traitement.
Par conséquent, l’entreprise A ne sera autorisée à le mettre en œuvre que si elle respecte le principe de limitation des finalités. Ce principe, comme son nom l’indique, veut que tout traitement ne peut être effectué que pour une finalité clairement définie, à laquelle il sera limité (article 5, paragraphe 1, point b). Si A transmet des données personnelles à B sans savoir à quelles fins elles seront utilisées, A ne pourra pas respecter le principe de limitation des finalités, c’est pourquoi une telle mention doit obligatoirement apparaître dans le contrat unissant les deux entités, ainsi que l’engagement, de la part de l’entreprise B, de se limiter à cette finalité déterminée contractuellement.
Outre cette obligation juridique formelle, l’entreprise A pourrait avoir besoin d’intégrer de nombreuses autres mentions contractuelles venant encadrer le transfert de données, malgré le fait que l’entreprise B soit un responsable de traitement indépendant. Supposons que les clients de l’entreprise A acceptent le transfert vers B en partant du principe que A veillera à leurs intérêts. Imaginons cependant que B, en raison d’une sécurité insuffisante, laisse fuiter les données à caractère personnel qui lui ont été transmises.
Même en l’absence d’une responsabilité juridique directe, la réputation de l’entreprise A sera sérieusement impactée. Par conséquent, il est fortement recommandé d’insérer, dans tous vos contrats “inter-responsables”, des garanties contractuelles supplémentaires concernant les mesures de sécurité implémentées par l’entreprise B, voire des clauses d’audit, ou encore des obligations techniques d’encryption – le fait de convertir des données en un “code”, dont la compréhension est impossible à toute personne ne possédant pas la clé de déchiffrement – permettant de mitiger les risques.
Il est également courant et recommandé de distribuer clairement dans le contrat les responsabilités respectives des acteurs quant aux obligations qui pourraient les concerner simultanément. Typiquement, la répartition des rôles quant aux demandes d’exercice de droits des utilisateurs est souvent importante pour éviter des confusions ou l’absence de respect de ces droits aboutissant à des plaintes fréquemment couronnées de sanctions des autorités.
Bien d’autres exemples, dépendant de chaque situation particulière pourraient être évoqués. De manière générale, dans une situation “inter-responsables”, vous devrez systématiquement vous poser les questions suivantes :
- La finalité de l’utilisation des données personnelles par mon cocontractant est-elle explicitement définie dans mon contrat, ainsi que l’engagement de s’y limiter ?
- Suis-je en droit de concéder de tels droits à ce cocontractant compte tenu des consentements obtenus par mes soins auprès des personnes concernées ?
- Est-il nécessaire d’inclure d’autres dispositions contractuelles afin de mitiger les risques, notamment d’atteinte à la réputation (recours à des sous-traitants, encadrement des transferts transfrontaliers, possibilités d’audit, mesures de sécurité) ?
- Est-il nécessaire d’établir une explicite répartition contractuelle des droits et obligations des parties tels que l’encadrement de l’exercice des droits des utilisateurs, l’alignement des politiques de sécurité et notamment la gestion des failles de sécurité, la synchronisation de l’implémentation des évolutions réglementaires, etc ?
Mentions obligatoires dans les contrats entre responsables conjoints
Les mentions obligatoires visant spécifiquement les relations contractuelles entre responsables conjoints sont clairement visées dans l’article 26 RGPD. Ce dernier évoque l’obligation, pour les responsables conjoints, de “[définir] de manière transparente leurs obligations respectives
Est visé par cet article un document contractuel particulier, un accord de coresponsabilité. Ce dernier peut constituer un contrat à part entière, ou être intégré à un contrat existant par le biais d’un avenant. Cet accord de responsabilité vise l’ensemble de vos contrats en tant que responsable conjoint dès lors qu’un traitement de données à caractère personnel est opéré.
Certains acteurs intègrent facilement cet accord de coresponsabilité dans des contrats dont l’objet vise spécifiquement des données comme la fourniture d’une technologie par un acteur technique tel qu’un DSP, ou dans les contrats d’achat ou de vente de données. Cependant, seule une cartographie précise de vos documents contractuels vous permettra de prendre la mesure du nombre de contrats visés.
Plusieurs éléments doivent apparaître au sein de cet accord de coresponsabilité.
Premièrement, et même si de telles mentions ne sont pas rendues explicitement obligatoires par le texte du RGPD, il est conseillé d’intégrer à l’accord les finalités conjointes poursuivies et les moyens conjoints mobilisés dans le cadre du traitement de données, ainsi que d’autres engagements relatifs au respect des obligations générales du RGPD (principe de minimisation, de limitation, ou mesures de sécurité par exemple). Ces premières mentions sont essentielles pour clarifier la situation et s’assurer que les responsables conjoints ont bien la même vision du traitement et de leurs obligations.
L’accord de coresponsabilité doit ensuite contenir un accord concernant la répartition des rôles dans l’exercice des droits de la personne concernée. Il faut noter que la personne concernée pourra toujours contacter l’un ou l’autre des responsables conjoints pour faire valoir ses droits, et qu’aucun engagement contractuel ne saurait écarter cette règle. Il s’agit donc surtout, pour les responsables conjoints, de définir clairement les processus de traitement des demandes d’exercice de droit une fois que l’un d’entre eux aura reçu une demande (il est par exemple important de définir la procédure précise que suivront les responsables dans le cas d’une demande d’accès aux données : quel responsable conjoint sera chargé d’extraire les données sollicitées, sous quelle forme, dans quel délai etc.).
Autre point incontournable à mentionner dans l’accord de responsabilité : la répartition des rôles quant à la communication des informations visées aux articles 13 et 14 RGPD, qui sont les informations obligatoires à transmettre de manière claire, intelligible et accessible aux personnes concernées. Dans le cas d’un site web par exemple, il est bien sûr recommandé que l’éditeur du site qui recueille le consentement des visiteurs de son support soit la partie en charge de la communication de ces informations, par le biais de sa Politique de Confidentialité notamment
Enfin, il est généralement conseillé d’ajouter quelques mentions relatives au processus de notification de violation, afin qu’en cas de fuites de données vous puissiez efficacement reporter la violation de donnée à l’autorité de contrôle compétente, dans le délai légal de 72 heures.
Finissons le tour des obligations contractuelles liées à la responsabilité conjointe en précisant que les grandes lignes de l’accord doivent être mises à disposition des personnes concernées, de manière intelligible. L’accord de coresponsabilité lui-même peut notamment définir la partie en charge d’une telle communication aux personnes concernées.
Mentions obligatoires entre responsables de traitement et sous-traitants
Les relations contractuelles entre responsable de traitement et sous-traitant sont extrêmement courantes, et régulées par l’article 28 RGPD. Ce dernier détaille l’ensemble des mentions devant obligatoirement figurer dans un contrat liant ces deux types d’acteurs.
De manière générale, il est important que ce contrat témoigne du fait que le sous-traitant répond aux exigences du RGPD en termes de protection des données personnelles. Cela passe par un certain nombre de mentions contractuelles obligatoires, les plus importantes étant les suivantes :
> Une ou plusieurs clauses générales, détaillant l’objet, la durée, la nature, et la finalité du traitement, ainsi que le type de données à caractère personnel traitées, les catégories de personnes concernées, et les droits et obligations du responsable. Il s’agit ici de clarifier les conditions précises du traitement.
> Une clause réaffirmant le principe selon lequel le sous-traitant ne pourra agir qu’uniquement sur instructions documentées du responsable de traitement. C’est d’ailleurs ce qui fait qu’un sous-traitant adopte cette catégorie juridique ( lire notre première tribune).
> Une clause constituant un engagement de confidentialité que devront respecter les personnes en charge du traitement de données du côté sous-traitant.
> Une clause relative aux mesures de sécurité mises en place par le sous-traitant, qui doivent être suffisantes du point de vue du RGPD. Il s’agit d’un point central (parfois négligé par les juristes) et les engagements concernant la sécurité doivent être précis (encryption, certifications de sécurité, politique de sécurité, etc…).
> Plusieurs clauses devront ensuite encadrer les relations entre le responsable de traitement et le sous-traitant. Celles-ci devront notamment préciser la procédure à respecter lorsqu’une personne concernée fait valoir l’un de ses droits auprès du responsable de traitement, la coopération dans le cadre d’une violation de données, ou encore les informations que le sous-traitant devra mettre à la disposition du responsable pour d’éventuels audits.
> Une ou plusieurs clauses devront concerner la possibilité (ou non) pour le sous-traitant de faire appel à des sous-traitants ultérieurs. Ces clauses méritent une attention toute particulière.
En effet, premièrement, le sous-traitant doit s’engager, dans un contrat avec un sous-traitant ultérieur, à reporter les mêmes obligations en matière de protection de données que celles fixées dans le contrat avec le responsable. Cela ne veut pas dire que les articles devront correspondre mot pour mot, mais que le sous-traitant s’engage à ce qu’un degré de protection comparable sera permis par le contrat dans son ensemble.
Deuxièmement, l’article 28 du RGPD précise que le sous-traitant ne peut faire appel à un sous-traitant ultérieur sans l’approbation écrite du responsable de traitement. Cette approbation peut cependant prendre deux formes : une autorisation générale, ou une autorisation spécifique. Il est important de choisir l’une des deux formes dans le contrat liant responsable de traitement et sous-traitant, afin de fluidifier les échanges sur la question. Une autorisation générale, comme son nom l’indique, signifie que le sous-traitant dispose d’un droit général au recours à des sous-traitants ultérieurs. Il est alors relativement libre dans ses choix et doit simplement informer le responsable de traitement des nouveaux sous-traitants auquel il fait appel. Toutefois, il convient de souligner qu’un responsable de traitement peut émettre des objections si le sous-traitant ultérieur que souhaite mobiliser son sous-traitant ne lui convenait pas. L’impact juridique de ces objections est encore discuté et incertain : cela veut-il dire que le responsable peut s’opposer et empêcher le recours au sous-traitant ultérieur ? Ou bien qu’il ne peut qu’exprimer ses inquiétudes ? Il serait souhaitable qu’une interprétation européenne claire apporte rapidement une réponse à ces questions, afin d’assurer la sécurité juridique des entités qui utilisent une autorisation générale de recours aux sous-traitants ultérieurs.
Une autorisation spécifique est plus restrictive et signifie que le sous-traitant ne pourra pas librement choisir un sous-traitant ultérieur, mais devra obtenir une autorisation préalable ou se conformer aux choix et aux conditions du responsable de traitement.
Pour résumer, une autorisation générale est avantageuse lorsque le responsable de traitement ne peut ou ne veut pas superviser en détail les actions et l’organisation de son sous-traitant. Il s’agit d’une organisation plus flexible, et moins lourde, mais donnant plus de liberté au sous-traitant. Une autorisation spécifique est avantageuse lorsque le responsable de traitement souhaite conserver un contrôle assez étroit sur son sous-traitant, et qu’il en a les moyens.
EN SYNTHÈSE
Le droit concernant la nécessaire qualification juridique de l’ensemble des acteurs a été introduit par le RGPD afin d’harmoniser les règles au sein de l’Union européenne mais aussi de protéger les personnes concernées et tous les acteurs économiques et publics dans un contexte où l’innovation a nécessairement occasionné un éparpillement et un décloisonnement des données.
Après vous avoir donné les outils nécessaires pour identifier votre qualité juridique dans le cadre du RGPD, nous avons, dans cette tribune, détaillé les obligations contractuelles associées à chacune de ces qualités, afin de vous permettre d’identifier les clauses cruciales à intégrer dans vos contrats.
EN CONCLUSION
En tant que professionnels de la publicité en ligne, vous évoluez dans un écosystème sophistiqué, multipliant vos contrats, vos traitements, et vos qualités juridiques. Dans ce cadre, il est d’autant plus fondamental pour vous non seulement d’afficher la bonne qualité juridique, mais aussi d’intégrer à vos différents contrats les mentions contractuelles obligatoires associées.
Quelle que soit la nature de la relation contractuelle (“inter-responsables”, responsabilité conjointe, entre responsable et sous-traitant), être clair sur vos obligations contractuelles vous permettra de prendre des décisions éclairées lors de vos négociations, et de ne jamais risquer votre sécurité juridique par un manque de cohérence dans la rédaction de vos contrats.
Nous avons cartographié, dans cette tribune, les obligations contractuelles liées à chaque qualité. Cependant, nous avons laissé de côté une certaine catégorie d’obligations qui concernent l’intégralité des acteurs (qu’ils soient responsables, responsables conjoints, ou sous-traitants). Ces obligations sont liées aux transferts de données à caractère personnel vers un pays tiers à l’Union européenne. Ce sujet, à la fois essentiel et complexe, sera l’objet de notre prochaine tribune.