Iubenda logo
Générer dès maintenant

Documentation

Sommaire

Les responsabilités des agences web selon le RGPD

Dans la mesure où il est très probable qu’une agence traite des données personnelles pour le compte de ses clients, il est conseillé de prendre certaines précautions pour limiter, autant que possible, l’apparition d’éventuels litiges.

Si l’agence est le responsable du traitement externe, elle doit :

  • signer un contrat ad hoc (appelé « Accord de Traitement des Données », « Contrat ex-art. 28 du règlement 679/2016 » ou « Nomination de la personne en charge » – vous trouverez ici plus d’informations et un modèle à télécharger) avec chaque responsable du traitement (c’est-à-dire, le client) ; et
  • agir de manière transparente et proactive dans le but de prouver que tout a été fait dans les règles en cas d’audits.
Quelle est la différence entre un responsable du traitement et un sous-traitant ?

Le terme « responsable du traitement » se réfère à toute personne naturelle ou légale déterminant les raisons et moyens de traitement des données à caractère personnel de ses utilisateurs. Il est la personne qui détermine « pourquoi » et « comment » les données personnelles collectées devraient être traitées, généralement le propriétaire du site/de l’application (dans ce cas, le client).

Le terme « sous-traitant » se réfère à toute personne naturelle ou légale traitant des données personnelles pour le compte du responsable du traitement. C’est le cas, par exemple, d’une agence s’occupant des newsletters ou des campagnes marketing de ses clients.

Obligations des agences

Selon le RGPD, voici les obligations des sous-traitants (les agences) envers les responsables du traitement (les clients) :

  • L’agence n’est tenue de traiter les données personnelles que sur les instructions documentées du client. Cela voulant dire que l’agence doit strictement adhérer aux instructions de traitement de son client, qui sont généralement définies pour la plupart dans l’Accord sur le traitement des données mentionné plus haut. Les instructions du client couvriront le cycle de traitement de données entièrement, c’est-à-dire, depuis la collecte jusqu’a la fin du traitement. Il s’ensuit, qu’une fois que les services de traitement ont été complétés, l’agence devra supprimer ou rendre les données personnelles à son client, suivant les instructions données par le client (c’est-à-dire le responsable du traitement).
  • Les données personnelles doivent être traitées avec la plus grande confidentialité : pour assurer cela, l’agence doit assurer un traitement effectué uniquement par un personnel autorisé étant lié (ou légalement lié par) une obligation de confidentialité. Normalement, ces instructions de traitement sont écrites et remplissent les obligations des employés. Ces instructions contiennent des clauses relatives à la manière dont il faut traiter les données et les règles de confidentialité au cours des opérations de traitement.
  • Les agences doivent donc assurer que toutes les mesures de sécurité nécessaires soient prises et ne doivent pas utiliser les services d’une entité extérieure (par exemple un autre sous-traitant) sans l’autorisation préalable écrite du client.
  • Les obligations d’assistance et de coopération de l’agence sont fondamentales. Par l’adoption de mesures techniques et organisationnelles appropriées, l’agence doit aider le client à répondre aux demandes des utilisateurs à exercer leurs droits. Imaginons, par exemple, qu’un utilisateur demande la rectification de son adresse e-mail dans une base de donnée utilisée dans le cadre de Marketing direct par email (DEM). Si l’agence en charge de la maintenance de cette base de données et de l’envoie de tels e-mails reçoit la demande de la personne concernée, elle doit immédiatement en informer le client (c’est-à-dire le responsable du traitement) et procéder en adéquation avec les instructions fournies.
  • L’agence doit assister le client dans le respect de toute obligation découlant de situations telles qu’une violation de données à caractère personnel, durant toute consultation préalable avec l’autorité de contrôle ou si une analyse d’impact relative à la protection des données s’avère nécessaire.
  • L’agence doit rendre disponible au client toute information en sa possession nécessaire pour démontrer la conformité de son client aux obligations légales. Ce faisant, il ne doit pas entraver les activités de contrôle (y compris les inspections) menées directement par le client ou par toute autre personne mandatée par le client.
Indemnité et le logiciel iubenda

Il convient de souligner qu’une indemnité exonère l’agence des responsabilités inhérentes à la « qualité » des produits de iubenda, et non de toute responsabilité.

Par exemple, si l’agence ajoute une clause Google Analytics à la Politique de Confidentialité et de Cookies et que le lien vers la politique de confidentialité du fournisseur est erroné, cela relève de la responsabilité de iubenda. Toutefois, si l’agence ajoute Google Analytics, mais que le site web utilise un service différent, la charge incombe à l’agence à moins que cette dernière prouve d’en être exonéré (par exemple, si le consommateur a approuvé le document ou a explicitement demandé l’inclusion de ladite clause).

Responsabilités du client et de l’agence en cas de dommages causés à l’utilisateur

L’article 82 du RGPD est la règle fondamentale en matière de responsabilité civile dans le traitement des données à caractère personnel et du droit à réparation qui en découle, et précise que :

Toute personne ayant souffert de dommage matériel ou non matériel résultant de la violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant la réparation du préjudice subi.

Tandis que le responsable du traitement (le client) est responsable des dommages causés par le traitement violant le RGPD, le sous-traitant (l’agence) est uniquement responsable pour les dommages causés par le traitement si :

  • il n’a pas rempli ces obligations relatives au RGPD, ou
  • a agi de manière incohérente ou contraire aux instructions (légitimes) du client.

L’agence peut répondre dans le cas où :

  • elle transgresse les instructions du client (même si elle dépasse les limites de sa compétence, auquel cas le RGPD prévoit qu’elle assume sa responsabilité en tant que propriétaire indépendant) ;
  • elle n’aide pas le client (par exemple, dans le cas d’une violation de données à caractère personnel, ou d’une analyse d’impact) ;
  • elle ne met pas à la disposition du client les informations nécessaires dont il dispose ;
  • elle n’informe pas le consommateur qu’une de ces instructions viole la loi ;
  • bien qu’elle y soit obligée, ne désigne pas de DPD (délégué à la protection des données) ;
  • elle désigne un autre sous-traitant non autorisé au préalable ;
  • elle désigne un autre sous-traitant n’offrant pas de garanties suffisantes ;
  • elle ne conserve pas de registre de ses opérations de traitement.

Les conditions d’exonération de la responsabilité

Le consommateur ou l’agence ne peuvent être exonérés de responsabilités que s’ils peuvent prouver que le dommage causé ne leur est pas imputable (par exemple, s’il résulte d’un traitement de données non effectué par eux même).

Responsabilité conjointe et solidaire

Si le dommage est attribuable à plusieurs responsables du traitement ou sous-traitants (ou les deux), chacun est conjointement et solidairement responsables du montant total de l’accident.

En ce cas, la personne qui a indemnisé l’intégralité du dommage peut réclamer aux autres propriétaires ou responsables impliqués une indemnité correspondant à sa part de responsabilité.

Voir également