chronique

Les nouvelles obligations en matière de contrats de sous-traitance informatique

Les traitements informatiques incluant très souvent des traitements de données personnelles, les contrats de sous-traitance informatique doivent également résoudre toutes les questions qui y sont liées.

Par Paul Van den Bulck
Avocat aux barreaux de Bruxelles et Paris
Associé, McGuireWoods

Pour assurer la qualité, la rapidité, la stabilité et la sécurité des opérations informatiques, les contrats de sous-traitance informatiques (infogérance, cloud-computing, etc.) sont généralement très détaillés.

Ainsi, de nombreuses questions sont réglées dans ces contrats: l’objet des prestations, le prix et les modalités de paiement, l’obligation de conseil, l’obligation de collaboration, le niveau de service, les modalités d’assistance, le plan de continuité, l’évolution des solutions, les cas de responsabilité et les indemnisations, la confidentialité, la propriété intellectuelle, la force majeure, la durée du contrat, la réversibilité, la résolution de conflits, etc.

Les traitements informatiques incluant très souvent des traitements de données personnelles, les contrats de sous-traitance informatique doivent également résoudre toutes les questions qui y sont liées. À cet égard, le Règlement général sur la protection des données personnelles (GDPR) qui entrera en vigueur en mai 2018 prévoit une série de nouvelles obligations.

Documenter son choix

La première obligation du maître de l’ouvrage, en tant que responsable de traitement des données personnelles, est de choisir un sous-traitant qui présente des garanties suffisantes. Ces garanties concernant tant la mise en œuvre de mesures techniques et organisationnelles appropriées répondant aux exigences du GDPR que la protection des droits des personnes concernées, à savoir, les personnes dont les données personnelles sont traitées.

Un maître de l’ouvrage risque donc d’engager directement sa responsabilité s’il fait preuve d’une certaine légèreté quant au choix de son sous-traitant. Il ne s’agit donc pas d’une obligation qui serait théorique, mais d’une obligation bien réelle qui oblige le maître de l’ouvrage à être en mesure d’expliquer, et sans doute de documenter, son choix.

Cette obligation va au-delà du choix du sous-traitant principal. Le maître de l’ouvrage doit également agréer, suivant différents mécanismes prévus par le GDPR, la chaîne d’autres prestataires à qui son sous-traitant principal pourrait faire appel.

En sus des questions réglées habituellement dans les contrats de sous-traitance informatique, le maître de l’ouvrage à l’obligation de régler dans le contrat avec son sous-traitant, notamment les questions suivantes:

- Définir l’objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées.

- Obliger le sous-traitant à ne traiter les données à caractère personnel que sur ses instructions documentées, y compris ce qui concerne les transferts de données à caractère personnel vers un pays tiers (pays hors Espace économique européen).

- Prévoir le respect de règles de confidentialité.

- Prévoir la mise en œuvre des mesures de sécurité (cryptage, pseudonymisation, etc.).

- Imposer au sous-traitant de collaborer pour la réponse à apporter aux personnes concernées qui exerceraient leur droit d’accès aux données, pour les notifications destinées aux autorités de contrôle et aux personnes concernées en cas de faille de sécurité et pour les analyses d’impact relatives à la protection des données qui seraient obligatoires vu les risques qu’impliquent certains traitements.

- Prévoir la suppression ou le renvoi des données en fin de contrat, ainsi que la destruction de toute copie existante.

- Obliger le sous-traitant à mettre à disposition toutes les informations nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits.

L’enjeu

Le but de ce formalisme contractuel propre à la protection des données personnelles est évidemment de protéger les personnes concernées. Un des enjeux, tant pour le maître de l’ouvrage que pour le sous-traitant, est de délimiter leurs responsabilités respectives en cas de préjudice subi par les personnes concernées.

Le GDPR prévoit en effet que vis-à-vis des personnes concernées ces deux acteurs sont solidairement responsables pour tout dommage matériel ou moral.

D’un point de vue civil et une fois les personnes concernées indemnisées, tant le sous-traitant que le maître de l’ouvrage, disposent, par ailleurs, chacun d’un recours contre l’autre partie pour la part du dommage qu’il aurait indemnisé et pour laquelle il ne serait en réalité pas responsable.

Lire également

Echo Connect