Le traitement de données à caractère personnel

Nouvelle convention-type

Analyse Les entreprises choisissent souvent de confier le traitement de données à caractère personnel, telles que par exemple un fichier clients, à des entreprises qui sont établies en dehors de l’Union Européenne et qui ne doivent pas répondre, en principe, aux exigences posées par la directive « Protection de données à caractère personnel ».(1) 

La conséquence en est que la sécurité du traitement des données à caractère personnel peut être compromise.

Le « transfert » de données à caractère personnel à des pays tiers qui ne disposent pas d’un niveau de protection adéquat (en matière du traitement de données à caractère personnel) est rendu possible, e.a. par la protection via une convention qui est obligatoire tant vis-à-vis de l’exportateur des données que vis-à-vis de l’importateur des données.

Afin de garantir la sécurité du traitement des données à caractère personnel, la Commission Européenne a déjà établi, par le passé, un certain nombre de conventions-type dans lesquelles sont reprises les dispositions de la Directive « Protection de données à caractère personnel ».

Les responsabilités imposées par ces contrats diffèrent selon la qualité des parties.

D’une part, il y a le « Responsable » des données à caractère personnel. C’est la personne qui a le contrôle sur les données à caractère personnel et qui donne les instructions concernant leur traitement.

Ensuite, il y a le « Sous-traitant ». Celui-ci agit sur les instructions du Responsable.

Enfin, il peut encore être fait appel à un « Sous-sous-traitant (sous-traitant de deuxième niveau) » qui réalise pour ainsi dire des ordres en sous-traitance pour le Sous-traitant.

Les conventions-type qui existent déjà actuellement concernent la relation entre le Responsable européen (exportateur de données) et le Responsable non européen (importateur de données), ainsi que la relation entre le Responsable européen et le Sous-traitant non européen et son Sous-sous-traitant (sous-traitant de deuxième niveau) non européen.

Par conséquent, il n’était dès lors pas encore prévu de convention-type spécifique pour régler la relation entre le Sous-traitant européen de données à caractère personnel et le Sous-sous-traitant (sous-traitant de deuxième niveau) non européen. Pourtant, il n’est pas impensable qu’un Sous-traitant européen choisisse d’avoir recours à un Sous-sous-traitant (sous-traitant de deuxième niveau) d’un pays tiers. Pour que cette relation prévoie elle aussi les garanties nécessaires, une proposition a été lancée le 21 mars 2014 afin de combler cette lacune.

Le contenu de la nouvelle convention-type est similaire à celui des conventions-type déjà utilisées à l’heure actuelle. L’une des caractéristiques principales de cette convention constitue la stipulation pour autrui. Sur la base de celle-ci, un individu dont les données sont traitées peut intenter une action lorsqu’une partie n’observe pas ses obligations contractuelles. Grâce à cette stipulation, l’individu (sujet de données) peut intenter une action en premier lieu contre l’Exportateur de données responsable. Au cas où celui-ci n’existerait plus, l’Importateur de données peut être tenu responsable, et, en dernier lieu, le Sous-sous-traitant (sous-traitant de deuxième niveau).

Dans la convention-type existante, le Responsable du traitement des données à caractère personnel était toujours l’Exportateur des données.  Dans la nouvelle convention, il est prévu que les données à caractère personnel sont transférées par le Sous-traitant.

Néanmoins, le Responsable demeure en premier lieu responsable si un individu est lésé par un acte fautif au niveau du traitement. Ce n’est que lorsque le Responsable n’existe plus que l’individu peut prendre action contre l’Exportateur de données – Sous-traitant et puis contre l’Importateur de données – Sous-traitant.

L’individu concerné ne peut toutefois puiser son action contre le Responsable de cette convention. Une stipulation pour autrui crée une relation tripartite et le Responsable serait une quatrième partie, ce que cette construction ne permet pas. La responsabilité du Responsable et les droits d’action de l’individu concerné découleront donc de la convention-cadre que le Responsable contracte avec le Sous-traitant - exportateur.

La conclusion d’une convention-cadre est une obligation que l’Exportateur de données – Sous-traitant doit avoir remplie s’il veut transférer les données à caractère personnel à un importateur de données – Sous-traitant. Dans cette convention-cadre, le Responsable doit assumer une série d’obligations qui doivent garantir la sécurité du traitement.

Eu égard au fait que le Responsable n’est pas une partie de la nouvelle convention, il aura tout intérêt à donner à ses Sous-traitants des instructions claires et nettes concernant le traitement et les conditions sous lesquelles il peut être fait appel à un Importateur de données – Sous-sous-traitant (sous-traitant de deuxième niveau). Le Responsable reste en effet le premier interlocuteur.

Le fait qu’un cadre juridique uniforme sera mis en place pour le transfert de données à caractère personnel entre des sous-traitants européens et non européens constitue une bonne nouvelle. Cette proposition sera maintenant traitée par la Commission Européenne et ce n’est qu’en cas de conclusion positive qu’il pourra être fait usage de la nouvelle convention-type.

 

1 Directive 95/46/CE du Parlement Européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

2 Décision de la Commission du 27 décembre 2004 modifiant la décision 2001/497/EC en ce qui concerne l'introduction d'un ensemble alternatif de clauses contractuelles types pour le transfer de données à caractère personel vers des pays tiers et décision de la Commssion du 5 février 2010 relative aux clauses contractuelles type pour le transfer de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la Directive 95/46/CE.