Retour à -

Violation du RGPD par le bureau à domicile dans le cadre d'accords de traitement des commandes (CAT)

De nombreuses entreprises font appel à des tiers pour l'exécution de services techniques et autres. Par exemple, une entreprise U peut faire appel à une société de services informatiques ou à un fournisseur de logiciels pour des services de maintenance et d'entretien des logiciels et du matériel. De même, des entreprises de marketing externes peuvent être mandatées pour des campagnes de lettres d'information. Afin de respecter les exigences du RGPD en matière de données à caractère personnel, un accord de traitement des données en sous-traitance est souvent conclu. Cette convention pose désormais des problèmes en cas de changement soudain de bureau à domicile.

Dans le cadre d'un CUU, de nombreuses règles de contrôle et de surveillance doivent être convenues et des mesures techniques et organisationnelles doivent être prises pour protéger les données à caractère personnel. L'un des éléments de ces dispositions est l'intégration d'autres sous-traitants auxquels le contractant peut faire appel. Exemple : si l'entreprise U charge une entreprise de marketing M d'une campagne de newsletter et que M, pour l'exécution de cette commande client, fait à son tour appel à un prestataire de services techniques V qui se charge de l'envoi des e-mails, cette entreprise est un sous-traitant. Il existe donc une chaîne "U - M - V" avec U en tant que donneur d'ordre, M en tant que preneur d'ordre et V en tant que sous-traitant d'un traitement de commande.

La question de savoir si l'entreprise de marketing M peut intégrer V se pose dans le CUU conclu entre U et M. Parfois, les sous-traitants autorisés y sont nommés de manière exhaustive et parfois, une clause prévoit que l'intégration ultérieure est soumise à l'approbation de U - dans l'exemple. Dans d'autres cas, une solution d'opposition est prévue.

L'annexe au CUU décrit en outre de manière très détaillée les mesures techniques et organisationnelles (TOM) qui doivent être prises par les sous-traitants et les sous-traitants secondaires. En règle générale, cela va jusqu'à définir les différents mécanismes de fermeture des portes et à décrire les installations de protection contre les incendies.

Si, en raison de la pandémie de Corona, un bureau à domicile est soudainement mis en place et que - dans l'exemple ci-dessus - l'entreprise de marketing M et le prestataire de services d'expédition V ne fournissent plus leurs prestations à partir de leurs locaux respectifs, deux problèmes peuvent notamment se poser :

  • D'une part, les employés de M et de V ne travailleront désormais plus depuis les locaux de l'entreprise respective. Les mesures techniques et organisationnelles décrites dans le traitement des commandes (par exemple, les restrictions d'accès et les installations de protection contre les incendies) ne s'appliqueront plus au bureau à domicile.

  • D'autre part, les employés de M et V feront désormais appel à des prestataires de services supplémentaires, par exemple pour l'accès à distance ou la vidéotéléphonie, pour l'exécution de leurs activités. Le recours à de tels prestataires de services supplémentaires doit toutefois être autorisé par les CUU conclues.

Le commissaire fédéral à la protection des données et à la liberté d'information (BfDI) recommande même qu'un bureau à domicile ne puisse être mis en place qu'avec l'accord écrit préalable et explicite du donneur d'ordre, et ce uniquement si des mesures techniques et organisationnelles suffisantes ont été définies :

"Le traitement de données en dehors des locaux du sous-traitant (par ex. télétravail, travail à domicile, bureau à domicile, travail mobile) nécessite l'accord écrit préalable et exprès du responsable du traitement, qui ne peut être donné qu'après la définition de mesures techniques et organisationnelles appropriées à la situation de traitement".

Par conséquent, si les CGU existants ne prennent pas déjà suffisamment en compte un bureau à domicile, des mesures juridiques sont désormais nécessaires. Dans la configuration la plus simple, une information du donneur d'ordre concerné peut être nécessaire, ce dernier disposant généralement d'un droit d'opposition. Dans d'autres cas, une modification contractuelle sera nécessaire. Dans d'autres cas encore, une autorisation du donneur d'ordre concerné sera nécessaire. Il convient toutefois de noter que la protection des données à caractère personnel elle-même n'est pas librement disponible pour le donneur d'ordre. Les mesures de protection convenues jusqu'à présent ne peuvent donc pas être réduites à volonté, même en concertation avec le donneur d'ordre.

Il est donc recommandé - si cela n'est pas encore prévu dans le CUU - de convenir de règles complémentaires concernant le recours à des sous-traitants et de décrire en même temps des mesures techniques et organisationnelles supplémentaires qui s'appliquent spécifiquement au home-office. S'il s'agit de données personnelles sensibles, il peut également s'avérer qu'un abaissement des mesures de protection n'est pas autorisé. Toutefois, compte tenu des risques actuels liés au coronavirus et à la maladie du Covid-19, cet intérêt pour l'intégrité physique des employés doit également être pris en compte dans l'évaluation.

Il convient de souligner que l'obligation n'incombe pas à une seule des parties à la CUV. En effet, si la CUU n'est pas valable, cela constitue une violation du RGPD, tant pour le donneur d'ordre que pour le sous-traitant, avec le cadre d'amende connu. Il est donc urgent de contrôler les contrats de sous-traitance existants afin de déterminer si des mesures supplémentaires sont nécessaires en raison du home-office.

Version : 25. mars 2020