Le contrat de sous-traitance de données personnelles (DPA) organise non seulement les obligations de chaque partie, mais aussi la répartition de leur responsabilité en cas de manquement au RGPD. Cette répartition n'est pas neutre : en cas d'incident ou de contrôle par la CNIL, elle détermine qui supporte les conséquences financières et qui répond des sanctions. La rédaction des clauses de responsabilité dans un DPA mérite donc une attention spécifique.
La responsabilité selon le RGPD : une répartition légale
Le RGPD pose un cadre de responsabilité entre responsable de traitement et sous-traitant. Le responsable de traitement est en principe responsable vis-à-vis des personnes concernées et de la CNIL pour l'ensemble du traitement, y compris pour les manquements commis par son sous-traitant. Le sous-traitant peut être directement mis en cause par les autorités de contrôle pour les manquements à ses propres obligations (obligations de l'article 28, sécurité, sous-traitance ultérieure, transferts).
La responsabilité entre les deux parties dans leurs relations internes — qui supporte in fine le coût d'un incident — est régie par le contrat. C'est là que les clauses de responsabilité jouent leur rôle.
La clause de répartition interne de la responsabilité
Le DPA doit préciser comment la responsabilité est répartie entre les parties en cas de dommage subi par une personne concernée ou de sanction prononcée par une autorité de contrôle. La règle générale est que chaque partie supporte la responsabilité correspondant à la partie du traitement dont elle avait la charge et au manquement qui lui est imputable.
En pratique, cela signifie que le sous-traitant prend en charge les conséquences des manquements qui lui sont propres (défaut de sécurité, recours non autorisé à des sous-traitants ultérieurs, transferts non conformes), tandis que le responsable de traitement supporte les conséquences des manquements qui lui incombent (défaut de base légale, information insuffisante des personnes, finalités non conformes).
La clause de limitation de responsabilité du sous-traitant
Le sous-traitant cherchera généralement à limiter sa responsabilité financière par un plafond d'indemnisation, souvent exprimé en multiple des honoraires perçus sur la période concernée. Cette limitation est en principe valable entre les parties, mais elle ne peut pas être opposée aux personnes concernées ou aux autorités de contrôle, qui peuvent toujours mettre en cause l'une ou l'autre partie selon le cadre légal du RGPD.
La négociation du plafond de responsabilité doit tenir compte de la nature des données traitées, du volume du traitement et des risques potentiels. Un sous-traitant traitant des données sensibles (données de santé, données financières) devrait accepter un plafond plus élevé que celui qui traite des données peu sensibles.
Les clauses d'indemnisation et de recours
Le DPA peut prévoir des obligations d'indemnisation réciproques : le sous-traitant indemnise le responsable de traitement pour les dommages résultant de ses propres manquements, et inversement. Ces clauses doivent être précises sur les conditions de déclenchement, les procédures de notification et de coopération et les délais.
Une clause de recours permet à la partie qui a supporté une sanction ou une indemnisation du fait d'un manquement imputable à l'autre partie de se retourner contre elle pour récupérer les sommes versées.
Pour un accompagnement dans la rédaction de votre DPA, consultez notre page dédiée à l'avocat contrat de sous-traitance de données personnelles.
