Les entrepreneurs ou sous-traitants du secteur de la construction ne sont pas des "sous-traitants" au sens du RGPD

Depuis le 25 mai 2018, toute entreprise ou organisation qui traite des données à caractère personnel de citoyens est tenue de se conformer aux nouvelles règles européennes (plus strictes) sur la protection des données à caractère personnel, mieux connues sous le nom de RGPD. Les nouvelles règles remplacent la loi sur la protection de la vie privée de 1992.

Depuis lors, tant dans le cadre des contrats privés d’entreprise (ou de sous-traitance) de travaux que dans celui des marchés publics, la question se pose régulièrement de savoir si un entrepreneur ou un sous-traitant en construction est également un « sous-traitant » au sens du RGPD. Il s'agit de "toute personne physique ou morale, autorité publique, agence ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement".

Si les entrepreneurs ou sous-traitants sont considérés comme des « sous-traitants », ils doivent conclure des accords de traitement avec leur client, mais aussi avec leurs (sous-)sous-traitants. Cela crée des tracasseries administratives qui ont évidemment des conséquences financières. Dans la pratique, cependant, il faut dire que certains entrepreneurs ou maîtres d’ouvrage (y compris les pouvoirs publics) préfèrent le certain à l’incertain et insistent pour signer un contrat de sous-traitance.

Interprétation de la Commission des marchés publics

La question de savoir si les entrepreneurs et sous-traitants relèvent du statut de sous-traitants au sens du RGPD a récemment reçu une réponse négative de la commission des marchés publics.

Le Comité rappelle tout d'abord la distinction entre les termes "sous-traitant de données à caractère personnel" et "adjudicataire/entrepreneur".

Ces termes ne coïncident que si l'objet du marché est de traiter des données personnelles pour le compte du responsable du traitement. Le responsable du traitement détermine alors la finalité et les moyens de ce traitement. Il fournit ensuite des instructions claires concernant le traitement des données à caractère personnel. Cela nécessite la conclusion d'un contrat de sous-traitance.

Toutefois, les termes sous-traitant et entrepreneur ne coïncident pas dans le cas d'un marché public dans lequel l'objet du marché est l'exécution d'autres travaux, services ou livraisons. L'adjudicateur n'aura pas à conclure de contrat de sous-traitance pour ces contrats. Si, dans le cadre de l'exécution de ces marchés, des données à caractère personnelle doivent néanmoins être traitées, la finalité du traitement et les moyens d'y parvenir sont déterminés par l’adjudicataire lui-même. Dans ce cas, le traitement n'est pas effectué pour le compte de l'adjudicateur et celui-ci ne fournit aucune instruction à cet égard. L’adjudicataire a alors la qualité de responsable du traitement.

L’entrepreneur ou le sous-traitant n'est pas, en principe, un « sous-traitant »

A notre avis, il n'y a en effet pas de base dans le texte du RGPD pour l'interprétation selon laquelle tout entrepreneur ou sous-traitant serait ipso facto un sous-traitant au sens du RGPD. Un entrepreneur ou un sous-traitant est un responsable du traitement au sens du RGPD, mais non un sous-traitant. Au fond, ce sont les entrepreneurs et les sous-traitants eux-mêmes qui déterminent la finalité du traitement et les moyens utilisés pour y parvenir. Ils ne traitent donc pas de données à caractère personnel "au nom" de l'entrepreneur (principal) ou du client dans le cadre de l'exécution des travaux.

Le simple fait de recevoir des données à caractère personnel lors de la prestation de services ou de la livraison de biens ne suffit pas pour être considéré comme un sous-traitant. Le fait qu'un entrepreneur ou sous-traitant utilise les données à caractère personnel reçues dans le cadre de l'exécution d'un contrat (d’entreprise) ne peut pas non plus être déterminant. Au final, il est évident que l'échange de données personnelles s'effectue dans les deux sens. Si les entrepreneurs ou sous-traitants devaient être considérés uniquement comme des « sous-traitants », de nombreuses sociétés échapperaient en réalité aux responsabilités inhérentes au statut de responsable du traitement, ce qui ne saurait avoir été l'intention de l'organisme de réglementation.

Le choix quelque peu malheureux du terme "sous-traitant" dans la version française du RGPD n'enlève rien à ce qui précède. La définition de ce terme confirme que le traitement doit être effectué "pour le compte du" responsable du traitement. Dans presque toutes les versions, le terme utilisé se traduit par "processor ". Chaque fois, l'objet spécifique du marché est central, à savoir le traitement des données personnelles pour le compte du maître de l’ouvrage.

Concrètement, un entrepreneur ou un sous-traitant n'aura pas à être qualifié de « sous-traitant »  au sens du RGPD pour exécuter la plupart des contrats. Ce n'est que si l'objet du marché est de traiter des données à caractère personnel que l’adjudicataire sera un sous-traitant de données personnelles. L'échange et l'utilisation de données à caractère personnel dans le cadre d'autres contrats peuvent être effectués dans la mesure nécessaire à l'exécution du contrat, sans devoir conclure un contrat de sous-traitance.

Pour plus d'informations à ce sujet, veuillez contacter Dave Mertens et Sara Cockx (auteurs).