Les cabinets de conseil fiscal, les agences administratives et les études d'avocats partagent une caractéristique qui les place dans une catégorie singulière au sein du cadre du RGPD : dans la grande majorité de leur activité, ils ne traitent pas leurs propres données, mais des données personnelles appartenant à la sphère de leurs clients. Une agence administrative qui gère des affiliations et des radiations à la sécurité sociale, un cabinet de conseil en droit du travail qui prépare les fiches de paie des salariés d'une entreprise, ou une étude qui gère un dossier contentieux-administratif opèrent tous, au sens de l'article 4, paragraphe 8, du règlement (UE) 2016/679, en tant que sous-traitants : des entités qui traitent des données personnelles pour le compte du responsable du traitement — le client — et selon ses instructions. Cette position juridique génère des obligations propres qui vont bien au-delà de la simple confidentialité professionnelle.
L'instrument central du régime du sous-traitant est le contrat de sous-traitance exigé par l'article 28 du RGPD. Ce contrat doit préciser l'objet, la durée, la nature et la finalité du traitement, le type de données et les catégories de personnes concernées, ainsi qu'un catalogue d'obligations spécifiques : traiter les données uniquement selon les instructions documentées du responsable du traitement ; garantir la confidentialité de l'ensemble du personnel autorisé ; appliquer des mesures de sécurité appropriées conformément à l'article 32 ; ne pas recourir à des sous-traitants ultérieurs sans autorisation préalable du responsable du traitement ; assister le responsable du traitement dans l'exercice des droits des personnes concernées et dans la gestion des violations de données ; restituer ou effacer les données à l'issue de la mission ; et fournir toutes les informations nécessaires pour attester du respect du règlement devant l'AEPD. L'Agence a publié un guide spécifique sur la relation responsable-sous-traitant qui développe en détail les contenus minimaux et les critères de validité de ces clauses.
Parallèlement à leur rôle de sous-traitants vis-à-vis de leurs clients, les cabinets comptables et les études juridiques agissent également en tant que responsables du traitement pour leurs propres données : salariés du cabinet, candidats en cours de recrutement, données de facturation et de comptabilité interne, vidéosurveillance des locaux ou communications commerciales. Ce double rôle — sous-traitant vis-à-vis des clients et responsable de leurs propres traitements — multiplie l'étendue de la mise en conformité nécessaire et oblige à tenir le registre des activités de traitement selon deux dimensions distinctes : en tant que responsable du traitement (article 30, paragraphe 1, RGPD) et en tant que sous-traitant (article 30, paragraphe 2, RGPD). Ces deux dimensions exigent des contenus différents et doivent être mises à jour à chaque fois qu'un nouveau client est ajouté, qu'un type de service est modifié ou que le circuit des données avec des prestataires externes change.
Le secteur des cabinets comptables et des études juridiques traite fréquemment des données présentant un risque élevé pour les personnes concernées : données de santé dans le traitement des arrêts maladie et des incapacités ; données relatives à des infractions pénales ou administratives dans les cabinets pénalistes ; données économiques et patrimoniales à fort impact dans les procédures d'insolvabilité ou les restructurations de dettes ; données concernant des mineurs dans les dossiers de droit de la famille. Le secret professionnel — consacré pour les avocats à l'article 542, paragraphe 3, de la loi organique sur le pouvoir judiciaire (Ley Orgánica del Poder Judicial) et dans le Statut général du barreau espagnol (Estatuto General de la Abogacía Española), et de façon équivalente dans les règles déontologiques des gestionnaires et des économistes — complète les obligations du RGPD sans les remplacer. Le cabinet ne peut pas s'abriter derrière le devoir de confidentialité pour se soustraire à l'obligation d'informer les personnes concernées conformément aux articles 13 et 14 du RGPD, de répondre à leurs demandes d'exercice de droits dans un délai d'un mois, ni de notifier les violations de données à l'AEPD dans les conditions de l'article 33 du règlement.
Le régime de sanctions de l'article 83 du RGPD, transposé en Espagne par la LOPDGDD (LO 3/2018, loi organique sur la protection des données personnelles et la garantie des droits numériques), n'établit pas de tranches différentes selon la taille de l'entreprise ou le secteur d'activité. Les infractions portant atteinte aux principes fondamentaux du traitement, aux droits des personnes concernées ou aux conditions du consentement peuvent entraîner des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant appliqué. Les manquements aux obligations du sous-traitant — notamment l'absence de contrat de sous-traitance ou le défaut de mesures de sécurité adéquates — peuvent atteindre jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Pour la grande majorité des cabinets comptables et des études juridiques, qui sont des PME ou des microentreprises, l'impact proportionnel d'une sanction peut être dévastateur ; et le préjudice réputationnel d'une décision publique de l'AEPD est encore plus difficile à réparer dans un secteur où la confiance du client est l'actif principal.
Chez Summum Consultoria, nous accompagnons les cabinets comptables, les agences administratives et les études d'avocats dans leur mise en conformité au RGPD avec une approche pratique, adaptée aux opérations réelles du secteur et respectueuse du rôle de surveillance de l'AEPD. Nous réalisons le diagnostic initial de l'ensemble des traitements, élaborons le registre des activités dans sa double dimension, rédigeons les contrats de sous-traitance adaptés à chaque type de service — fiscal, social, comptable, juridique —, mettons en place les avis de confidentialité pour les clients et les salariés, définissons les mesures de sécurité techniques et organisationnelles proportionnées au risque et formons l'équipe à ses obligations quotidiennes. Notre objectif est que le cabinet puisse attester devant l'AEPD, à tout moment et sans improvisation, qu'il gère les données de ses clients avec la diligence et la documentation que la réglementation exige.