Le Règlement Général sur la Protection des Données (RGPD) est un texte européen entré en vigueur le 25 mai 2018. Il encadre le traitement des données sur l’ensemble du territoire de l’Union Européenne, dans la continuité (en droit français) de la loi Informatique et Libertés de 1978 qui établit des règles sur la collecte et l’utilisation des données en France. Le règlement RGPD est sous-tendu par 3 objectifs principaux : le renforcement des droits des personnes en matière de données personnelles, la responsabilisation des acteurs qui traitent des données, et la coopération entre les autorités de protection des données.
Le RGPD ne fait pas uniquement peser des obligations sur les responsables de traitement des données : il met aussi en place des obligations particulières pour les sous-traitants, c’est-à-dire les personnes qui travaillent pour le compte d’un responsable de traitement. Mais quelles sont ces obligations spécifiques ? Comment le sous-traitant doit-il se mettre en conformité avec le RGPD ? Enfin, quelles sont les sanctions possibles en cas de manquement ?
Sarah Benhammou, avocate spécialisée en droit du numérique, vous éclaire sur ces questions.
- Le RGPD expliqué en deux minutes
- Qu’est-ce qu’un sous-traitant et un responsable de traitement ?
- Quelles sont les obligations du sous-traitant dans le cadre du RGPD ?
- Quelles mentions doivent figurer dans le contrat de sous-traitance ?
- Qu’en est-il de la responsabilité du sous-traitant et des sanctions possibles ?
Le RGPD expliqué en deux minutes
Qu’est-ce qu’un sous-traitant et un responsable de traitement ?
À titre liminaire, il convient ici de distinguer le responsable de traitement du sous-traitant.
Au sens du RGPD, le responsable de traitement (des données à caractère personnel) est en principe l'autorité publique, l’entreprise ou l'organisme qui détermine les finalités et les moyens du traitement des données à caractère personnel.
Le sous-traitant, quant à lui, est celui qui traite des données pour le compte du responsable de traitement, dans le cadre d’un service ou d’une prestation. Par exemple, il peut effectuer une mission d’envoi d’e-mails massifs aux fichiers contacts du responsable de traitement, ou prendre en charge la gestion comptable de ce dernier.
Précision importante : le RGPD ne s’intéresse qu’aux entreprises et organismes qui traitent des données personnelles. Un sous-traitant qui n’a accès dans le cadre de sa mission à aucune donnée personnelle, n’est pas concerné par le RGPD.
A la différence du responsable de traitement, le sous-traitant ne détermine pas les moyens du traitement des données personnelles, c’est-à-dire les procédés par lesquels les données sont traitées, ni les finalités du traitement, c’est-à-dire la raison pour laquelle les données sont collectées.
Il n’en demeure pas moins tenu à des obligations spécifiques.
Quelles sont les obligations du sous-traitant dans le cadre du RGPD ?
Si le sous-traitant n’est pas en première ligne en ce qui concerne le traitement des données personnelles, le RGPD prévoit néanmoins que celui-ci doit respecter certaines obligations, sous peine de sanctions.
Ces obligations peuvent être scindées en quatre grands domaines :
L’obligation de traçabilité et de transparence
Le responsable de traitement et le sous-traitant sont tenus à une obligation de traçabilité et de transparence des données. Dès lors qu’il traite des données personnelles pour le compte d’un tiers, le sous-traitant doit donc tenir un registre de traitement, qui répertorie les activités qu’il effectue et qui impliquent un traitement de données personnelles.
Par ailleurs, le sous-traitant qui souhaite faire appel à un autre sous-traitant pour traiter certaines données personnelles transmises par le responsable de traitement, doit obtenir l’accord explicite de ce dernier.
L’article 28 du RGPD dispose en effet que : "Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.”
La prise en compte des principes de protection des données
L’ensemble des outils et des services du sous-traitant doit désormais prendre en compte les exigences du RGPD, afin d’être en conformité avec ce dernier. Il doit ainsi être en mesure de garantir que les données qu’il traite et conserve dans le cadre de sa mission sont celles, et uniquement celles, en rapport avec la mission qui lui a été confiée.
L’obligation d’assistance et de conseil
Le sous-traitant doit être en mesure d’accompagner le responsable de traitement tout au long de la mission, et de lui apporter conseil en matière de traitement des données personnelles.
À cet égard, il lui incombe d'alerter le responsable de traitement dès lors qu’un risque survient concernant les données ou leur traitement. Le sous-traitant a ainsi l’obligation d’avertir son client responsable de traitement dès lors que l’une de ses demandes contrevient aux dispositions du RGPD, ou dans le cas d’une faille de sécurité dont il aurait connaissance.
L’obligation d’assurer la sécurité des données personnelles traitées
Le sous-traitant a l’obligation de s’assurer que les données qui lui ont été confiées par le responsable de traitement sont en sécurité. A ce titre, le personnel qui traite ces données personnelles est soumis à une obligation de confidentialité. Si une violation de données personnelles survient, le sous-traitant doit en informer le responsable de traitement dans les meilleurs délais. C’est le responsable de traitement qui se chargera de notifier la violation de données à l’autorité compétente.
À la fin de sa mission, le sous-traitant doit procéder à la remise des données à caractère personnel au responsable de traitement ou à leur entière suppression, sauf s’il est tenu en vertu d’une obligation légale de les conserver.
Enfin, la relation entre les parties doit être formalisée dans un contrat de sous-traitance qui répond aux exigences posées par le RGPD.
Quelles mentions doivent figurer dans le contrat de sous-traitance ?
Généralités
Comme tout contrat de sous-traitance, le contrat liant le responsable de traitement à un sous-traitant doit contenir des mentions obligatoires : objet et nature du contrat, finalité, modalités d’exécution, obligations réciproques, durée, modalités de rupture, etc.
Mais le contrat conclu entre le responsable de traitement et le sous-traitant doit également comporter des mentions spécifiques aux sous-traitants, prévues à l’article 28 du RGPD. Ces mentions doivent avoir pour objectif de préciser la durée du traitement, la nature des données traitées, les catégories de personnes concernées, ainsi que les obligations du sous-traitant. A ce titre, celui-ci a notamment l’obligation :
- de ne traiter les données à caractère personnel que sur instruction documentée du responsable du traitement ;
- de veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour permettre la réalisation d'audits par le responsable du traitement ou un autre auditeur qu'il a mandaté ;
- de ne pas recruter un autre sous-traitant sans l’autorisation écrite préalable du responsable du traitement.
Le cas particulier du sous-traitant situé en dehors de l’Union Européenne
Si le champ d’application du RGPD est européen, il n’en demeure pas moins que les données circulent très souvent dans le monde entier.
En particulier, il est fréquent qu’un sous-traitant soit situé en dehors de l’UE et de l’EEE, alors que le responsable de traitement est européen. Dans ce cas, comment encadrer les transferts de données qui s’effectuent entre le responsable de traitement et son sous-traitant ?
Le chapitre V du RGPD, portant sur les transferts de données à caractère personnel vers des pays tiers, prévoit plusieurs outils permettant aux parties prenantes du transfert de données de respecter le RGPD même en cas de transfert dans un pays tiers.
Parmi ces outils, les clauses contractuelles types sont le plus fréquemment utilisées pour les transferts entre un responsable de traitement et un sous-traitant situé dans un pays tiers. Il s’agit d’un ensemble de clauses modèles devant être utilisées par les parties lors d’un transfert de données personnelles vers un pays tiers à l’Union européenne.
Ces clauses sont disponibles sur le site de la commission européenne. Elles ont fait l’objet d’une mise à jour le 4 juin 2021, et les principaux changements, par rapport aux anciennes clauses, sont les suivants :
- Les clauses contractuelles types sont désormais regroupées par module, et chaque module répond à un scénario. Le module deux est celui qui permet d’encadrer le transfert entre le responsable de traitement et un sous-traitant
- Dorénavant, il est possible d’ajouter des nouvelles parties au contrat au fil du temps
Enfin, suite à une jurisprudence de la Cour de Justice de l’Union Européenne, l’exportateur de données a l’obligation de tenir compte de la législation applicable à l’importateur de données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets.
Qu’en est-il de la responsabilité du sous-traitant et des sanctions possibles ?
La Commission Nationale de l'Informatique et des Libertés (CNIL), chargée de veiller en France à la protection des données personnelles, a rendu le 27 janvier 2021 une décision importante. Avant cette date, la CNIL avait adopté une doctrine selon laquelle seul le responsable de traitement pouvait être sanctionné en cas de manquement, même lorsque ce manquement était imputable à son sous-traitant.
Elle a depuis opéré un revirement, en sanctionnant un responsable de traitement et son sous-traitant. Ainsi, elle considère désormais qu’il appartient aussi au sous-traitant de rechercher les solutions « les plus appropriées » pour assurer la sécurité des données collectées et traitées par le responsable de traitement. En cas de manquement, le sous-traitant peut donc se voir infliger une amende administrative.
Le montant de cette amende est calculé en tenant compte de la responsabilité du sous-traitant à l’égard du manquement relevé. Plus le manquement est grave (par exemple : non-respect délibéré des obligations contractuelles), plus la sanction sera importante.
Les sous-traitants sont donc tenus de proposer les mesures de sécurité les plus adaptées au responsable de traitement. Ce caractère approprié doit s'apprécier au regard de la nature de la relation contractuelle, tout au long de celle-ci.
La rédaction d'un contrat de sous-traitance conforme au RGPD est obligatoire dès lors que le responsable du traitement délègue tout ou partie de ses activités de traitement à un sous-traitant. Dans ce cadre, il est fortement recommandé de s’adresser à un avocat spécialisé, qui saura accompagner les parties dans l'encadrement de leurs relations contractuelles, tout en sécurisant leurs activités.
Une question ? Laissez votre commentaire