Qu'est-ce qu'un sous-traitant RGPD et quelles sont ses obligations ?

Il est très commun pour un responsable de traitement au sens du RGPD, de faire appel à des sous-traitants dans la collecte ou la gestion de données personnelles. Par exemple :

  • une entreprise utilise une plateforme en ligne de gestion de sa newsletter (ex : mailchimp)
  • une organisation utilise un CRM en ligne
  • une association fait appel à un service informatique externalisé pour gérer ses imprimantes et ses postes de travail
  • une entreprise met en oeuvre un système de vidéo surveillance de ses locaux qui est géré à distance par une entreprise spécialisée
  • le CEO décide de la mise en place d’un centre d’appel piloté par une entreprise tierce pour la gestion de ses clients

Dans chacun de ces exemples, le responsable de traitement - c’est-à-dire la personne qui décide de la mise en oeuvre du traitement des données personnelles et des moyens à y consacrer - fait appel à des sous-traitants au sens du RGPD. Voyons donc ce que cette définition recoupe exactement (I), puis les obligations (II) et les responsabilités (III) que cela implique. Enfin nous verrons les sanctions prononcées en cas de non-respect de ces obligations légales et la jurisprudence associée (IV)

1. - Qu’est-ce qu’un sous-traitant au sens du RGPD ?

Le RGPD nous donne une définition du sous-traitant qui est la suivante (art. 4 point 8):

8) «sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

En fait, pour bien comprendre les choses, ce qui caractérise l’essence d’un sous-traitant, c’est le fait qu’il n’intervient pour le compte, et sur instruction du responsable de traitement. J’explique régulièrement en formation RGPD que le sous-traitant est la personne qui exécute les ordres du RT - et, à la différence de celui-ci - il ne peut faire ce qu’il veut avec les données personnelles qui sont collectées et traitées.

L’exemple type est une entreprise qui fait appel à une plateforme en ligne de gestion de la newsletter : le responsable de traitement décide du traitement et des moyens à mettre en oeuvre (ici choix de la plateforme) ; dans ce cas, la plateforme qui gère la newsletter sera en position de sous-traitant. Cela implique alors qu’elle ne pourra traiter les données personnelles que sur instruction du RT; elle ne pourra donc par exemple envoyer des emails aux abonnés de la newsletter du RT ni utiliser ces emails pour toute autre raison.

2. - Quelles sont les obligations du sous-traitant ?

Le sous-traitant a plusieurs obligations essentielles qu’il doit respecter, en voici quelques exemples :

2.1 - Ne traiter les données que sur instruction du responsable de traitement

La première obligation que le sous-traitant RGPD doit respecter est de ne traiter les données personnelles que sur instruction documentée du responsable de traitement. Cela signifie qu’il ne peut pas faire ce qu’il veut quant aux données qu’il traite pour le compte de son RT.

Cette obligation est indiquée à l’article 29 du RGPD :

“Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement (…).

A défaut, le sous-traitant engagerait sa responsabilité personnelle.

2.2 - Ne pas sous-sous-traiter sans l’autorisation du responsable

La seconde obligation essentielle est qu’il ne peut sous-traiter les opérations touchant aux données personnelles qu’en accord avec le responsable de traitement. Si le sous-traitant souhaite à son tour faire appel à d’autres sous-traitants (ex : la plateforme de gestion de la newsletter souhaite louer des serveurs), elle doit obtenir un accord écrit de la part de son RT.

Il existe une procédure spécifique à ce titre, en fonction du type d’autorisation de sous-traitance (générale, ou spécifique), que l’on voit plus en détail en formation.

2.3 - S’assurer d’avoir un contrat écrit qui le lie avec son RT

Dans les obligations essentielles, mais qui incombent également au responsable de traitement, le sous-traitant doit être lié par un contrat écrit avec son RT. Ce contrat doit prévoir une série d’obligations précises telles que :

  • l’objet du traitement
  • la durée du traitement
  • la nature et la finalité du traitement
  • le type de données à caractère personnel et les catégories de personnes concernées
  • les obligations et les droits du responsable du traitement

Nous analysons notre modèle type de contrat de sous-traitance dans la formation conformité RGPD.

2.4 - Maintenir un registre des opérations de sous-traitance

Le sous-traitant doit également s’assurer de maintenir un registre des activités de sous-traitances qui sont menées pour le compte de ses responsables de traitements.

Pour cela, il est commun d’utiliser un logiciel RGPD pour assurer la gestion des 3 registres obligatoires - dont celui de ST :

2.5 - Supprimer toutes les données du RT en fin de prestation

Le sous-traitant RGPD est enfin tenu à une obligation de réversibilité, ce qui signifie qu’il devra supprimer l’ensemble des données personnelles qu’il a traité pour le compte de son responsable de traitement, dès la fin de la prestation. Le RGPD lui impose l’obligation suivante :

selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et

Pour cela, le RT doit bien réfléchir dans la sélection de ses sous-traitants afin de s’assurer qu’ils respectent bien l’ensemble de ces obligations :

2.6 - Quelles sont les sanctions en cas de non respect de ces obligations ?

De manière générale les sanctions prévues par le RGPD s’appliquent au non respect des obligations imposées au sous-traitant, donc avec des montants d’amendes qui vont de 20 millions d’euros pour les PME et jusqu’à 4% du chiffre d’affaires global du groupe pour les grandes entreprises (plusieurs milliards d’euros en pratique).

A ce titre, la CNIL a rendu une décision intéressante récemment à propos d’un sous-traitant qui n’a pas respecté des obligations de sécurité, le sous-traitant a été condamné à 75.000€ en raison d’une mise à jour trop tardive de dispositifs de sécurité ayant conduit à une compromission de données (le RT ayant été condamné à 150K€):