Responsables du traitement et sous-traitants se posent tous la question du lien entre RGPD et plafond de responsabilité.
A moins de 70 jours de l’entrée en application du RGPD, le régime de la répartition des risques et donc du plafond de responsabilité tient une place importante dans les négociations des contrats de sous-traitance.
Dans la mesure où le droit des contrats ne rentre pas dans les compétences exclusives de l’Union européenne, le RGPD ne traite pas directement du régime de responsabilité contractuel entre les parties. Il n’en demeure pas moins que le RGPD trace des perspectives claires sur ce que peuvent être les stipulations du contrat de sous-traitance.
La Cnil ne prévoit pas non plus de réponse claire dans son guide du sous-traitant publié en septembre 2017 (1).
RGPD et plafond de responsabilité : rappel des dispositions impactantes
L’article 28 du RGPD prévoit d’ores et déjà des obligations très claires entre responsable du traitement et sous-traitant. Ces obligations doivent être déclinées par contrat (2).
Il faut se référer à l’article 82 pour trouver des dispositions du RGPD avec influence directe sur le régime de responsabilité entre les parties. Cet article intitulé « Droit à réparation et responsabilité » trace deux lignes blanches qu’aucune des parties ne peut franchir. Il ne peut, en particulier, y avoir d’exclusion de responsabilité :
- envers la personne physique concernée par le traitement ;
- pas plus qu’envers l’autorité de contrôle prononçant une sanction.
A la lecture du même article, les parties peuvent écarter leur responsabilité si « le fait qui a provoqué le dommage ne lui est nullement imputable ». De même, si une partie a supporté à l’égard de la personne concernée, tout ou partie d’une indemnisation versée au profit de cette dernière, alors elle peut se retourner auprès des autres responsables du traitement ou sous-traitant pour que cette charge soit répartie à concurrence de la part de responsabilité respective de chaque intervenant au traitement.
Ces dispositions sont fondamentales alors que le risque financier envers les personnes concernées est très important et qu’il va être accru par l’introduction des actions de groupe en la matière (3).
RGPD et plafond de responsabilité : liberté contractuelle
Sous réserve des dispositions précitées, les parties sont libres, par contrat, de prévoir cumulativement ou alternativement :
- l’entière responsabilité envers la personne concernée dès lors que la faute est exclusivement imputable à l’une ou l’autre des parties ;
- entre elles uniquement, une limitation de responsabilité proportionnée au risque et sans vider pour autant de sa substance l’objet du contrat ;
- un mécanisme de garantie entre elles des risques vis-à-vis de la personne concernée, le cas échéant selon certains seuils, avec renonciation irrévocable à opposer quelque bénéfice de discussion (la partie tenue de payer doit l’avoir fait) ou de division (chaque partie ne paye qu’au prorata de sa part de responsabilité) ;
- un régime de preuve (obligation de moyens ou de résultat) adapté à la nature du service concerné ;
- un mécanisme de conciliation, médiation ad hoc.
Particulièrement délicat, le lien entre RGPD et plafond de responsabilité, suppose une discussion raisonnable et adaptée au risque entre les parties.
Eric Le Quellenec
Lexing Informatique conseil
(1) Cnil, Guide du sous-traitant, septembre 2017
(2) Contrat cloud : les impacts du RGPD sur la sous-traitance, post du 30-1-2017
(3) Projet de loi relatif à la protection des données personnelles, Doc. Ass. nat. n° 490 du 13-12-2017