Sous-traitant RGPD – Que dit le règlement ? [Définition, responsabilités, contrat…]

Comment s’assurer d’être conforme au RGPD lorsque l’on délègue tout ou partie des traitements à un sous-traitant ? Telle est la question ! Le RGPD apporte des réponses claires à ce sujet. Le règlement européen fait évoluer le partage de la responsabilité entre le sous-traitant et le responsable des traitements. Il définit également les obligations à respecter dans la conclusion des contrats de sous-traitance (contrats de prestations de service). Découvrez l’essentiel de ce qu’il faut savoir en 5 min.

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Sommaire :

Qu’est-ce qu’un sous-traitant au sens du RGPD ? [Définition]

La CNIL, qui est l’autorité chargée de contrôlée la bonne application du RGPD, donne une définition précise de ce qu’est un « sous-traitant ». Un sous-traitant est une entité traitant des données à caractère personnel « pour le compte, sur instruction et sous l’autorité d’un responsable de traitement » (Source). C’est l’article 4 du RGPD qui définit ce qu’est un responsable de traitement, à savoir toute personne physique ou morale « qui détermine les finalités et les moyens du traitement des données à caractère personnel ».

Si vous êtes une entreprise basée en Suisse ou traitant de données personnelles de citoyens suisses, vous avez également des obligations envers vos sous-traitants ! Pour en savoir plus, consultez notre article : LDP et Entreprises en Suisse: Comment se mettre en conformité ?

La distinction responsable de traitement-sous-traitant recouvre peu ou prou la distinction décideur-exécutant. On ne peut pas parler de sous-traitant sans évoquer le responsable de traitement.

Si vous êtes une entreprise qui gère, stocke et traite tout ou partie des données personnelles pour le compte d’un ou de plusieurs clients, vous êtes considérée comme un sous-traitant. Sont concernées par cette définition tous les prestataires de services informatiques et numériques (intégrateurs, ESN…), les agences web, les agences de communication et de marketing, les prestataires RH…

En matière de traitement des données personnelles, les activités de sous-traitance peuvent être variées :

  • Gestion des campagnes marketing (email de prospection, sms…).
  • Gestion de la paie.
  • Hébergement web.
  • Maintenance web.
  • Déploiement d’une solution informatique.
  • …/…

A noter que les fabricants de matériels informatiques n’ont pas la qualité de sous-traitant dans la mesure où ils n’ont pas accès aux données stockées sur les ordinateurs de leurs clients. Idem pour les éditeurs de logiciels On-Premise, sauf lorsqu’ils interviennent pour des prestations de service (implémentation, maintenance déléguée…).

Précisons également qu’une entité peut être à la fois sous-traitant et responsable de traitement. Par exemple, une agence marketing agit :

  • En qualité de sous-traitant lorsqu’elle manipule les données de ses clients (dans le cadre par exemple de la gestion déléguée des campagnes marketing).
  • En qualité de « responsable de traitement » lorsqu’elle réalise des traitements pour son propre compte (par exemple, dans la gestion de son propre fichier clients ou des données sur ses salariés).

Pour en savoir plus sur les sanctions en cas non-conformité au RGPD, nous vous invitons à découvrir notre guide : « L’essentiel à savoir sur les contrôles de la CNIL & les sanctions ».

Le principe de co-responsabilité entre le responsable de traitement et le sous-traitant

Le RGPD a entraîné une évolution importante en ce qui concerne la question de la responsabilité.

Avant le RGPD, c’est-à-dire lorsque s’appliquait la loi Informatique et Libertés, seuls les responsables de traitement étaient « responsables », comme leur nom l’indique d’ailleurs ! Le responsable de traitement et le sous-traitant signaient un contrat de sous-traitance dans lequel étaient stipulées les obligations du sous-traitant en matière de sécurité et de confidentialité des données. Le sous-traitant devait présenter des garanties suffisantes, mais en cas de traitements illicites, seul le responsable de traitement pouvait en être tenu pour responsable.

Le RGPD consacre quant à lui le principe de co-responsabilité du responsable de traitement et du sous-traitant. La responsabilité n’est plus réservée au responsable de traitement, elle est étendue aux sous-traitants. Le règlement européen souhaite ainsi responsabiliser tous les acteurs impliqués dans le traitement des données. Nous recommandons donc aux sous-traitants l’accompagnement par un DPO externalisé.

Quelles sont les obligations du sous-traitant RGPD ?

Avec le RGPD, le sous-traitant est lui aussi soumis à des obligations et passible de sanctions pénales en cas de traitements non conformes.

Ces obligations sont essentiellement au nombre de quatre :

  • Obligation de traçabilité et de transparence. Il faut pouvoir déterminer clairement les flux de données entre le responsable de traitement et son sous-traitant. Dans le contrat de sous-traitance (contrat de prestation de services), chacune des deux parties doit définir le partage des obligations et des missions, en se basant sur l’article 28 du RGPD. Le responsable de traitement doit recenser par écrit tous les traitements que le sous-traitant est autorisé à faire pour le compte de son client. De son côté, le sous-traitant doit obligatoirement documenter l’activité de sous-traitance. Par ailleurs, si le sous-traitant envisage à son tour de déléguer tout ou partie des traitements à un autre sous-traitant (un sous-traitant au carré), il doit obtenir en amont l’accord explicite du responsable de traitement.
  • Respect des principes généraux du RPGD. Le sous-traitant doit s’engager à respecter les grands principes sur lesquels repose le RGPD, que ce soit les principes encadrant le recueil du consentement ou ceux encadrant le stockage et la conservation des données. Le sous-traitant doit assurer le responsable de traitement que les outils, produits, applications ou services qu’il utilise respecte les principes du RGPD.
  • Sécurisation des données personnelles. Le sous-traitant doit mettre tout en œuvre pour assurer la sécurité des données que lui confie le responsable de traitement. Une obligation de confidentialité s’impose aux personnes réalisant les traitements.
  • Obligation de conseil et d’alerte. Le sous-traitant a une obligation de conseil vis-à-vis de son client (le responsable de traitement). En cas de risque pesant sur la sécurité ou la confidentialité des données, ou bien en cas de traitements non-conformes au RGPD, le sous-traitant doit en informer le responsable de traitement. Le sous-traitant a pour obligation d’avertir dans les plus brefs délais le responsable de traitement en cas de faille de sécurité. A la fin du contrat de sous-traitance, le sous-traitant doit procéder à la suppression des données ou les renvoyer à son client (selon la volonté du client).

Bon à savoir : Les règles encadrant la relation entre sous-traitant et responsable de traitement sont listées dans l’article 28 du RGPD.

Vous souhaitez le conseil d’un expert juridique du RGPD et/ou être accompagné dans la rédaction de votre contrat de sous-traitance ? Nous vous invitons à compléter le formulaire accessible sur le site en haut à droite de l’écran (« Vous avez une question ? »). 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €