Vous êtes avocat ? 👋 Pour rejoindre notre réseau, c'est par ici !
  1. Gestion
  2. Politique de confidentialité - RGPD
  3. Sous traitants et RGPD : comment être conforme ?

Sous traitants et RGPD : comment être conforme ?

Consulter Me Benhammou
Consulter Me Benhammou

Le Règlement Général sur la Protection des Données (RGPD) est un texte européen entré en vigueur le 25 mai 2018. Il encadre le traitement des données sur l’ensemble du territoire de l’Union Européenne, dans la continuité (en droit français) de la loi Informatique et Libertés de 1978 qui établit des règles sur la collecte et l’utilisation des données en France. Le règlement RGPD est sous-tendu par 3 objectifs principaux : le renforcement des droits des personnes en matière de données personnelles, la responsabilisation des acteurs qui traitent des données, et la coopération entre les autorités de protection des données. 

Le RGPD ne fait pas uniquement peser des obligations sur les responsables de traitement des données : il met aussi en place des obligations particulières pour les sous-traitants, c’est-à-dire les personnes qui travaillent pour le compte d’un responsable de traitement. Mais quelles sont ces obligations spécifiques ? Comment le sous-traitant doit-il se mettre en conformité avec le RGPD ? Enfin, quelles sont les sanctions possibles en cas de manquement ? 

Sarah Benhammou, avocate spécialisée en droit du numérique, vous éclaire sur ces questions.

 

 

Le RGPD expliqué en deux minutes

 

Qu’est-ce qu’un sous-traitant et un responsable de traitement ?

A titre liminaire, il convient ici de distinguer le responsable de traitement du sous-traitant. 

Au sens du RGPD, le responsable de traitement (des données à caractère personnel) est en principe l'autorité publique, l’entreprise ou l'organisme qui détermine les finalités et les moyens du traitement des données à caractère personnel. 

Le sous-traitant, quant à lui, est celui qui traite des données pour le compte du responsable de traitement, dans le cadre d’un service ou d’une prestation. Par exemple, il peut effectuer une mission d’envoi d’e-mails massifs aux fichiers contacts du responsable de traitement, ou prendre en charge la gestion comptable de ce dernier. 

Précision importante : le RGPD ne s’intéresse qu’aux entreprises et organismes qui traitent des données personnelles. Un sous-traitant qui n’a accès dans le cadre de sa mission à aucune donnée personnelle, n’est pas concerné par le RGPD. 

A la différence du responsable de traitement, le sous-traitant ne détermine pas les moyens du traitement des données personnelles, c’est-à-dire les procédés par lesquels les données sont traitées, ni les finalités du traitement, c’est-à-dire la raison pour laquelle les données sont collectées. 

Il n’en demeure pas moins tenu à des obligations spécifiques. 

Quelles sont les obligations du sous-traitant dans le cadre du RGPD ? 

Si le sous-traitant n’est pas en première ligne en ce qui concerne le traitement des données personnelles, le RGPD prévoit néanmoins que celui-ci doit respecter certaines obligations, sous peine de sanctions

Ces obligations peuvent être scindées en quatre grands domaines :

L’obligation de traçabilité et de transparence

Le responsable de traitement et le sous-traitant sont tenus à une obligation de traçabilité et de transparence des données. Dès lors qu’il traite des données personnelles pour le compte d’un tiers,  le sous-traitant doit donc tenir un registre de traitement, qui répertorie les activités qu’il effectue et qui impliquent un traitement de données personnelles. 

A noter : le sous-traitant qui est également responsable de traitement a l’obligation de tenir des registres distincts. 

Par ailleurs, le sous-traitant qui souhaite faire appel à un autre sous-traitant pour traiter certaines données personnelles transmises par le responsable de traitement, doit obtenir l’accord explicite de ce dernier. 

L’article 28 du RGPD dispose en effet que :  "Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.”

La prise en compte des principes de protection des données 

L’ensemble des outils et des services du sous-traitant doit désormais prendre en compte les exigences du RGPD, afin d’être en conformité avec ce dernier. Il doit ainsi être en mesure de garantir que les données qu’il traite et conserve dans le cadre de sa mission sont celles, et uniquement celles, en rapport avec la mission qui lui a été confiée. 

L’obligation d’assistance et de conseil

Le sous-traitant doit être en mesure d’accompagner le responsable de traitement tout au long de la mission, et de lui apporter conseil en matière de traitement des données personnelles

A cet égard, il lui incombe d'alerter le responsable de traitement dès lors qu’un risque survient concernant les données ou leur traitement. Le sous-traitant a ainsi l’obligation d’avertir son client responsable de traitement dès lors que l’une de ses demandes contrevient aux dispositions du RGPD, ou dans le cas d’une faille de sécurité dont il aurait connaissance. 

 

L’obligation d’assurer la sécurité des données personnelles traitées 

 

Le sous-traitant a l’obligation de s’assurer que les données qui lui ont été confiées par le responsable de traitement sont en sécurité. A ce titre, le personnel qui traite ces données personnelles est soumis à une obligation de confidentialité. Si une violation de données personnelles survient, le sous-traitant doit en informer le responsable de traitement dans les meilleurs délais. C’est le responsable de traitement qui se chargera de notifier la violation de données à l’autorité compétente. 

A la fin de sa mission, le sous-traitant doit procéder à la remise des données à caractère personnel au responsable de traitement ou à leur entière suppression, sauf s’il est tenu en vertu d’une obligation légale de les conserver. 

Enfin, la relation entre les parties doit être formalisée dans un contrat de sous-traitance qui répond aux exigences posées par le RGPD. 

Quelles mentions doivent figurer dans le contrat de sous-traitance ?

Généralités

 

Comme tout contrat de sous-traitance, le contrat liant le responsable de traitement à un sous-traitant doit contenir des mentions obligatoires : objet et nature du contrat, finalité, modalités d’exécution, obligations réciproques, durée, modalités de rupture, etc. 

Mais le contrat conclu entre le responsable de traitement et le sous-traitant doit également comporter des mentions spécifiques aux sous-traitants, prévues à l’article 28 du RGPD. Ces mentions doivent avoir pour objectif de préciser la durée du traitement, la nature des données traitées, les catégories de personnes concernées, ainsi que les obligations du sous-traitant. A ce titre, celui-ci a notamment l’obligation : 

  • de ne traiter les données à caractère personnel que sur instruction documentée du responsable du traitement ;
  • de veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; 
  • de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour permettre la réalisation d'audits par le responsable du traitement ou un autre auditeur qu'il a mandaté ;
  • de ne pas recruter un autre sous-traitant sans l’autorisation écrite préalable du responsable du traitement. 

 

Le cas particulier du sous-traitant situé en dehors de l’Union Européenne

 

Si le champ d’application du RGPD est européen, il n’en demeure pas moins que les données circulent très souvent dans le monde entier. 

En particulier, il est fréquent qu’un sous-traitant soit situé en dehors de l’UE et de l’EEE, alors que le responsable de traitement est européen. Dans ce cas, comment encadrer les transferts de données qui s’effectuent entre le responsable de traitement et son sous-traitant ? 

Le chapitre V du RGPD, portant sur les transferts de données à caractère personnel vers des pays tiers, prévoit plusieurs outils permettant aux parties prenantes du transfert de données de respecter le RGPD même en cas de transfert dans un pays tiers.

Parmi ces outils, les clauses contractuelles types sont le plus fréquemment utilisées pour les transferts entre un responsable de traitement et un sous-traitant situé dans un pays tiers. Il s’agit d’un ensemble de clauses modèles devant être utilisées par les parties lors d’un transfert de données personnelles vers un pays tiers à l’Union européenne.

Ces clauses sont disponibles sur le site de la commission européenne. Elles ont fait l’objet d’une mise à jour le 4 juin 2021, et les principaux changements, par rapport aux anciennes clauses, sont les suivants : 

  • Les clauses contractuelles types sont désormais regroupées par module, et chaque module répond à un scénario. Le module deux est celui qui permet d’encadrer le transfert entre le responsable de traitement et un sous-traitant
  • Dorénavant, il est possible d’ajouter des nouvelles parties au contrat au fil du temps

 

Enfin, suite à une jurisprudence de la Cour de Justice de l’Union Européenne, l’exportateur de données a l’obligation de tenir compte de la législation applicable à l’importateur de données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets.  

A noter : il est obligatoire de signer ces clauses contractuelles types ou tout autre contrat encadrant le transfert de données avec un sous-traitant situé en dehors de l’UE. A défaut, il est interdit de déléguer le traitement des données ou d’effectuer un transfert de données hors de l’UE sous peine de sanctions. 

 

Qu’en est-il de la responsabilité du sous-traitant et des sanctions possibles ?

 

La Commission Nationale de l'Informatique et des Libertés (CNIL), chargée de veiller en France à la protection des données personnelles, a rendu le 27 janvier 2021 une décision importante. Avant cette date, la CNIL avait adopté une doctrine selon laquelle seul le responsable de traitement pouvait être sanctionné en cas de manquement, même lorsque ce manquement était imputable à son sous-traitant. 

Elle a depuis opéré un revirement, en sanctionnant un responsable de traitement et son sous-traitant. Ainsi, elle considère désormais qu’il appartient aussi au sous-traitant de rechercher les solutions « les plus appropriées » pour assurer la sécurité des données collectées et traitées par le responsable de traitement. En cas de manquement, le sous-traitant peut donc se voir infliger une amende administrative

Le montant de cette amende est calculé en tenant compte de la responsabilité du sous-traitant à l’égard du manquement relevé. Plus le manquement est grave (par exemple : non-respect délibéré des obligations contractuelles), plus la sanction sera importante. 

Les sous-traitants sont donc tenus de proposer les mesures de sécurité les plus adaptées au responsable de traitement. Ce caractère approprié doit s'apprécier au regard de la nature de la relation contractuelle, tout au long de celle-ci. 

La rédaction d'un contrat de sous-traitance conforme au RGPD est obligatoire dès lors que le responsable du traitement délègue tout ou partie de ses activités de traitement à un sous-traitant. Dans ce cadre, il est fortement recommandé de s’adresser à un avocat spécialisé, qui saura accompagner les parties dans l'encadrement de leurs relations contractuelles, tout en sécurisant leurs activités. 

 

Me Sarah Benhammou
Écrit par Me Sarah Benhammou
Droit du numérique
Droit commercial
Me Sarah Benhammou, avocate au Barreau de Paris, intervient aux côtés des jeunes entreprises, start-up, PME et associations dans toutes leurs démarches juridiques en droit des contrats et droit des sociétés. En tant que DPO, elle assiste également les entreprises dans leur mise en conformité avec la Loi Informatique et Liberté et le R.G.P.D. 
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
Le rapport d'activité d'association : définition et fonctionnement

L’une des obligations du gérant d'association réside dans la tenue d’une assemblée générale annuelle, pendant laquelle le rapport d’activité de l’association est présenté.

4 min
Changement du bureau de l'association : la procédure

Le changement de bureau d'une association implique le respect d'une certaine procédure : convocation des adhérent, réunion en assemblée générale et organisation de nouvelles élections. Me Benhammou vous accompagne

3 min
Bureau de l'association : composition, rôle et fonctionnement

Bureau d'association : Découvrez tout ce qu'il y a à savoir de la composition, des rôles et fonctionnement du bureau d'association.

4 min
DPO RGPD : quelles sont ses missions ?

Le DPO (Délégué à la protection des données personnelles, ou Data Protection Officer en anglais) joue un rôle clé dans le cadre du RGPD. Mais quelles sont ses missions ? Sa nomination est-elle obligatoire ? Qui peut être DPO ? Me Benhammou décrypte le sujet

5 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?

Vous collectez et traitez les données personnelles de citoyens européens ? Vous êtes donc soumis à l'obligation de conformer votre entreprise au RGPD. Quelles sont les étapes à mettre en place ? Me Benhammou vous accompagne tout au long de votre procédure.

5 min
Consentement RGPD : comment l'obtenir ?

Pour être conforme, le consentement RGPD répond à une multitude de critères de validité. Comment demander ce consentement, le recueillir, le stocker, le retirer le cas échéant ? Me Benhammou vous accompagne dans votre mise en conformité RGPD.

5 min
L'association d'intérêt général : définition et fonctionnement

Vous souhaitez créer votre association d'intérêt général ? Cela passe par la création au préalable d'une association loi 1901. D'autres conditions devront être remplies afin d'obtenir l'agrément d'intérêt général. Me Benhammou vous guide.

5 min
Comment créer une association humanitaire ?

Passionné d'humanitaire vous souhaitez créer votre association ? Mais quel est le rôle d'une association humanitaire ? Comment la créer ? Comment la financer ? Me Benhammou vous accompagne

5 min
L'association transparente : définition et fonctionnement

Les associations peuvent être utilisées par l'État, les collectivités. Qu'est-ce qu'une association transparente ? Comment est-elle caractérisée ? Quelles sont les conséquences de cette qualification ? Me Sarah Benhammou décrypte le sujet et vous accompagne dans la création de votre association et des partenariats que vous allez nouer.

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier