APD Plainte relative à l’absence de contrat de sous-traitance (article 28.3. du RGPD) et à l’absence d’information suffisante par une autorité publique (article 14 du RGPD)

  • Auteur/autrice de la publication :
  • Post category:RGPD

Faits :

La chambre contentieuse de l’autorité Belge de protection des données personnelles (APD) a rendu une décision relative à l’objet d’une plainte, en date du 29 septembre 2023, sur deux points spécifiques :

  • 1/ Plainte relative à l’absence de contrat de sous-traitance comme indiqué à – art. 28§3 RGPD ;
  • 2/ Le manque d’information de l’autorité publique – art. 12 et suivants du RGPD ;

En France, il est courant et même obligatoire qu’une procédure de mise en concurrence soit instaurée par les autorités publiques pour passer un marché avec une entité privée ou publique. Cependant, au delà des mesures relatives à la transparence et la publicité des marchés publics, d’autres éléments composent ce processus complexe. Par exemple, elle oblige à recenser dès le départ la gestion des informations personnelles produites par la personne en charge d’exécuter le marché (le Maire et le service de la juridique / commande publique) et de prévoir l’encadrement de la relation avec la personne qui remporte le marché/concession, que ce soit le sous-traitant ou les sous-traitants du sous-traitant.

Le litige ci-rapporté propose d’explorer une liaison du numérique aux marchés publics dans le cadre de la passation d’une concession de redevance de parking :

Une Commune dans le cadre d’un marché de concession autorise une société à gérer la redevance de son parking. Cependant, cette société fait appel à un sous-traitant dans la mise en place de l’horodatage et des systèmes électroniques de paiement.

Une personne qui a utilisé le parking, reçoit une amende, elle constate que le gérant de la redevance parking collectait le nom, prénom, adresse, et la plaque d’immatriculation de son véhicule aux fins de se faire payer en cas de manquement. Le plaignant s’est adressé à l’administration pour obtenir la preuve de son infraction. L’administration lui propose les photographies de son véhicule (via un système de caméra disponible sur le parking). Voulant en savoir plus sur les modalités de ce traitements (surveillance du parking), celui-ci fit une demande d’information aux articles 12 et suivants, et 15 du RPGD. Cependant, le service à qui la demande était faite était dans l’impossibilité de lui répondre. Celui-ci demanda, le 6 juillet 2020, le contrat liant la société de redevance avec la société de gestion des caméras, mais aucun retour ne lui ait fait, de plus l’administration avouera qu’il n’existe pas au moment de la demande de contrat encadrant la sous-traitance des données personnelles. Le 27 juillet un contrat est finalement signé, la plainte était toutefois déjà envoyée à l’APD.

La plainte fait état de l’absence de contrat liant le sous-traitant (ST) et le responsable de traitement (RT) d’une part. D’autre part d’un manquement au devoir d’information.

Le 23 octobre l’APD reçoit la plainte comme recevable, ainsi une enquête est ouverte à l’encontre de la société.

L’enquête mise en œuvre par l’APD relève plusieurs faits violant le RGPD.

Violation du droit à l’information des personnes concernées – art.12.1 et 14 RGPD

Une violation de l’article 28.3 du RGPD – au moment de la plainte il n’existait pas de contrat de sous-traitance. À ce titre, était ajouté dans le contrat une clause de non-rétroactivité qui a été jugée sans effets.

§29 : « la clause de rétroactivité prévue par le contrat du 27 juillet 2020 n’est pas de nature à pallier l’absence de contrat au moment des faits. Si une telle rétroactivité devait être admise, elle permettrait de facto de contourner l’application dans le temps de l’obligation de l’article 28.3. du RGPD qui pèse ainsi qu’il a été développé aux points 26 et 27 ci-dessus, tant sur le responsable de traitement que sur le sous-traitant ».

Cette affirmation prend son sens, dès lors que le RGPD était entré en vigueur et devait être appliqué effectivement dès le 24 mai 2018. Le fait d’ajouter une clause de rétroactivité réduirait à peau de chagrin l’effectivité du RGPD et notamment les droits et garanties des personnes concernées. Logiquement, en rendant le contrat rétroactif, les droits des personnes lésées ne pourraient pas être réparés. L’APD conclue donc à une violation sur le fondement de l’article 28§3 du RGPD (Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement… »). Non seulement, le RT s’est rendu fautif, mais le sous-traitant doit aussi être regardé comme tel, ce qui logiquement tend vers un partage de responsabilité entre les deux entités. D’ailleurs, le devoir de proposer un contrat de sous-traitance aux fins de respecter les garanties prévues par le RGPD, n’incombe pas seulement au responsable de traitement (RT), mais il incombe de manière conjointe au sous-traitant qui se doit de proposer. Il est à ce titre possible de déceler un certain champ d’action du devoir de bonne-foi et ou de la loyauté contractuelle :

§27 : « obligation de conclure un contrat ou de se lier par un acte juridique contraignant pèse tant sur le responsable de traitement (ici la première défenderesse) que sur le sous-traitant (ci la seconde défenderesse) et non sur le seul responsable de traitement. Ceci est particulièrement important lorsque, comme c’est le cas en l’espèce, un sous-traitant propose ses services spécialisés à un grand nombre de responsables de traitements distincts. Il ne serait pas conforme au RGPD (ni par ailleurs à la réalité de terrain) de considérer que l’initiative de la conclusion du contrat (et sa proposition de contenu) ne devrait venir que du responsable de traitement ».

En résumé :

La mise en place d’un contrat de sous-traitance incombe au RT et au ST, dès le départ d’une relation en tant que tel. Cette obligation incombe aux deux acteurs. Et non au seul RT, à ce titre, l’autorité pourrait même faire état du poids économique, et du domaine d’activité pour déduire une telle obligation.

 

En outre, il n’est pas possible de faire rétroagir un contrat de sous-traitance :

 

D’une part, cette pratique contreviendrait à l’article 28§3 qui oblige le RT et ST à contractualiser leur relation sur le ou les traitements, dès le départ.

D’autre part, un tel acte contreviendrait aux droits et libertés des personnes concernées. Il risquerait, en cas d’atteinte au système d’information / de violation des données personnelles de faire peser des garanties et des contraintes auxquels le sous-traitant n’était pas tenu, dès le départ.

Violation du droit à l’information des personnes concernées – art.12.1 et 14 RGPD

Certaines fois le droit à l’information est dispensé. Celui-ci résulte notamment des articles 14§5.

L’application de cette exception est simple :

Dans un tel cas, il est nécessaire de distinguer d’une part, l’autorité créatrice du texte ainsi que le texte, et d’autre part, celui qui se fonde sur ce texte pour traiter les données personnelles.

Le texte de droit légitimant le traitement de données, doit prévoir une information sur les données nécessaires au traitement : C’est en ce seul cas que le RT qui se fonde sur ce texte, pour traiter des données, puisse invoquer une exception issue de l’article 14.5.c) du RGPD, dès lors que cette information puisse être accessible dans le cas d’un décret publié.

Ainsi, dans le contexte de la présente enquête, §42 de la décision : « si l’on conçoit que la première défenderesse [responsable de traitement] ait certes besoin de certaines données pour établir une redevance de stationnement et percevoir celle-ci (et soit autorisée à consulter une source telle la DIV à cet effet), les textes qu’elle invoque à l’appui de sa compétence ne prévoient pas d’obtention ou de communication obligatoire des données qu’elle a traitées en l’espèce (dont des photographies). »

Ici le RT se fonde sur un texte qui ne prévoit, à l’intérieur du texte, pas la manière dont le traitement sera exécuté. Il en donne la finalité mais n’indique pas de manière claire la manière de le faire, et de ce fait, ni les données personnelles traitées. Il n’y a donc aucune indication concrète à ce sujet. 

Le contexte aurait été différent si le texte fondant ce traitement avait été mis à jour, ou prévu dès le départ les données qui nécessaire à l’information des personnes concernées, aux fins de la finalité. De toutes manières, et quoi qu’il en soit, l’article 14.5.c) ne fait pas phi de l’obligation d’information, il diminue simplement sa portée, de sorte que pourrait être opéré un renvoi à l’acte règlementaire fondant le traitement pour plus d’informations. Il n’en demeure pas moins que le RT doit : « indiquer que des traitements de données auront lieu en exécution d’une obligation légale ou de renvoyer purement et simplement à l’application de l’article 6.1. c) du RGPD. Il incombe au responsable de traitement d’identifier les législations pertinentes qui fondent les traitements qu’il opère ».

En résumé :

 

L’acte règlementaire qui prévoit la finalité de traitement (dans le cadre de la mission d’intérêt public) doit : 

Soit proposer les données personnelles collectées (en annexe de l’acte exemple, via un tableau finalités / données collectées) qui seront traitées et faire un renvoi au texte lorsqu’il cela est nécessaire ; 

Soit en faire état par la voie d’une mesure d’information (au moins pour le surplus non mentionné dans l’acte règlementaire). D’une part, dans un encart physique indépendant, lorsqu’une personne est susceptible de faire l’objet d’une collecte (ici, petit encart à l’entrée du parking, ou à la station d’horodatage) D’autre part, sur le site web du responsable de traitement, le responsable conjoint par le biais de sa politique de confidentialité par exemple.

 

Quoi qu’il en soit, le RT reste tenu d’un devoir d’information, en indiquant concrètement la mesure légale sur laquelle il se fonde, soit en renvoyant, soit en indiquant de manière, claire et précise les modalités du traitement.

https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-137-2023.pdf