Le sous-traitant de données personnelles : l’essentiel en 10 points

Le RGPD a été adopté dans une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles. Nous vous proposons de découvrir la notion de sous-traitant et les enjeux qui en découlent.

Les obligations issues du RGPD pèsent également sur les sous-traitants de données personnelles.

Le règlement définit le sous-traitant comme : « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement. »

Le sous-traitant de données personnelles sera l’organisation qui va exécuter le traitement pour le compte et sur instruction d’un responsable de traitement.

Pour vous aider à déterminer la qualité des parties, vous pouvez vous reposer sur les indicateurs suivants :

✔️ le niveau d’instructions données par une partie à l’autre ;

✔️ l’autonomie dont dispose la partie qui reçoit les instructions dans la réalisation de ses missions ;

✔️ le niveau de contrôle exercé par la partie qui donne les instructions ;

✔️ l’expertise de la partie qui reçoit les instructions dans le domaine d’intervention ;

✔️ la valeur ajoutée dans le traitement des données apportée par la partie qui reçoit les instructions ;

✔️ la communication de l’identité du prestataire aux personnes concernées (clients, collaborateurs, etc.) par le traitement.

Un responsable de traitement dispose d’un niveau d’autonomie important dans la détermination des finalités et des moyens de traitement. Ses prestations sont effectuées sous aucun contrôle de son client ou alors un contrôle très restreint.

Le sous-traitant a contrario dispose de très peu d’autonomie dans l’exécution de ses prestations et doit suivre les instructions précises de son client. Le traitement sera fait sous le contrôle du client, seul responsable de traitement.

Les activités qui impliquent un traitement de données personnelles par un prestataire pour le compte et sur instruction de ses clients sont susceptibles de faire qualifier le prestataire de sous-traitant de données personnelles. On peut citer :

Un contrat ou un acte juridique permet d’encadrer et d’organiser la relation entre un responsable de traitement et son sous-traitant (objet, durée, nature, catégories de données personnelles sous-traitées, finalités de traitement, etc.). Cet acte est l’occasion de définir les obligations et les responsabilités de chacune des parties. 📄 

Le responsable de traitement doit vérifier que son sous-traitant présente les garanties suffisantes pour assurer la protection des données personnelles. L’acte peut définir des mesures à adopter afin de protéger les données personnelles. Le sous-traitant agit sur instruction du responsable de traitement et toute opération qui n’est pas prévue contractuellement doit faire l’objet d’un avenant ou d’un écrit.

Quelques obligations du sous-traitant :

✔️ garder une transparence sur la sous-traitance de données personnelles (registre du sous-traitant) ;

✔️ aider et assister le responsable de traitement pour traiter les demandes d’exercice de droit ;

✔️ mettre en place les mesures de sécurité nécessaires ;

✔️ recenser les instructions délivrées par le responsable de traitement ;

✔️ assister, alerter et conseiller le responsable de traitement dans sa mise en conformité ;

✔️ aider le responsable de traitement à mener des analyses d’impact (AIPD) avec consultation de l’autorité de contrôle le cas échéant ;

✔️ alerter le responsable de traitement en cas de violation de données, dès qu’il en prend connaissance et le cas échéant notifier la violation à la CNIL et/ou organiser la communication aux personnes concernées ;

✔️ etc.

Dans le cas où un sous-traitant est amené à recevoir une demande d’exercice de droit, il doit être en mesure d’assister le responsable de traitement pour y répondre.

Le contrat ou l’acte juridique doit prévoir les modalités et les conditions dans lesquelles cette assistance est apportée. Il est important de veiller à ce que la procédure envisagée permette au  sous-traitant d’apporter une réponse rapide, et ce, selon des formalités faciles et efficaces (par exemple : une interface avec un suivi et une répartition des demandes en fonction du traitement concerné).

Pour assurer la sécurité des données personnelles qui lui sont confiées, le sous-traitant doit mettre en place certaines mesures :

✔️ physiques : alarme anti-intrusion, clés de sécurité, vidéosurveillance, badges, dispositif anti-incendie, etc. ;

✔️ techniques : gestion des habilitations et des accès, traçabilité des données personnelles,  outils de sécurité informatique comme le chiffrement, coffre-fort de mot de passe sécurisé, etc. ;

✔️organisationnelles : sensibilisation au RGPD, formation des collaborateurs sur les bonnes pratiques à appliquer à leurs postes de travail, etc.

Lorsqu’une organisation traite des données pour le compte et sur instruction d’un ou plusieurs responsables de traitement elle doit tenir un « registre du sous-traitant ».

Il se distingue du « registre des activités de traitement » qui ne concerne que les traitements de données personnelles effectués par un responsable de traitement pour son propre compte.

Ce registre doit contenir :

✔️ les noms et coordonnées du ou des sous-traitants ;

✔️ les catégories d’activités de traitement effectuées pour le compte de chaque responsable de traitement ;

✔️ les noms et les coordonnées de chaque responsable de traitement pour le compte duquel le ou les sous-traitants agissent ;

✔️ le cas échéant les noms et coordonnées des délégués à la protection des données (DPO) des parties ;

✔️ le cas échéant la liste des pays tiers ou des organisations internationales vers lesquels les données sont transférées et la documentation des garanties ou des autorisations appropriées ;

✔️ une description générale des mesures de sécurité adoptées pour la protection des données personnelles.

Outre ce registre, le sous-traitant doit pouvoir produire les preuves qu’il a agi sur instruction du responsable de traitement. Il doit conserver et recenser l’ensemble des instructions reçues de sa part.

Il doit tenir à disposition du responsable de traitement toute information ou documentation pour prouver sa conformité au RGPD.

Le responsable de traitement est en principe la personne qui porte la responsabilité de la protection des données personnelles qu’il sous-traite. Toutefois, un sous-traitant peut subir des sanctions en cas de manquement à ses obligations. Le responsable de traitement qui subit un préjudice du fait de son sous-traitant peut prétendre à des dommages et intérêts en réparation de son préjudice.

La CNIL peut également prononcer des sanctions à l’encontre des deux parties en cas de manquement à leurs obligations.

Un sous-traitant peut avoir recours à un ou plusieurs sous-traitants ultérieurs sous certaines conditions.

L’autorisation écrite préalable du responsable de traitement est nécessaire. Cette autorisation peut être spécifique à certaines tâches, ou plus générale. Si l’autorisation est générale, le sous-traitant devra informer le responsable du traitement de tout recours à un sous-traitant ultérieur ou son remplacement afin de lui permettre d’émettre des objections.

Le sous-traitant ultérieur devra respecter a minima un niveau de sécurité équivalent et les mêmes obligations contractuellement fixées.

Le sous-traitant initial reste pleinement responsable des actions du sous-traitant ultérieur devant le responsable de traitement. Il doit aussi tenir à jour une liste des sous-traitants « ultérieurs » dans son registre.

Le sous-traitant de données personnelles a le droit de réutiliser pour son propre compte les données personnelles qui lui ont été confiées. Cependant, il doit s’assurer que :

✔️ l’utilisation qu’il en fait est compatible avec l’opération de traitement qui lui a été confiée (en fonction des finalités) ;

✔️ le responsable de traitement lui a donné une autorisation écrite spécifique.

Le responsable de traitement pourra évaluer la compatibilité du traitement initial avec la réutilisation prévue par le sous-traitant.

Le responsable de traitement initial doit informer les personnes concernées que leurs données ont été transférées vers un nouveau responsable. Le sous-traitant devient responsable du nouveau traitement (dans notre exemple, amélioration des prestations de cloud computing). Il doit en assurer la conformité au RGPD : information des personnes, durées de conservation, minimisation, exercice des droits, mesures de sécurité, etc.

L’obligation de désigner un DPO auprès de la CNIL est la même pour un responsable de traitement que pour un sous-traitant, à savoir :

✔️ lorsque la structure en question est une autorité publique ou un organisme public ;

✔️ lorsque les activités de traitement consistent en des opérations de traitement qui exigent un suivi régulier des personnes à grande échelle ;

✔️ lorsque les activités de traitement consistent en des opérations à grande échelle sur des données sensibles ou relatives à des condamnations pénales et infractions.

Si la structure en question ne relève pas des catégories ci-dessus, la désignation du DPO n’est pas obligatoire.

Pour plus d’informations sur le DPO, nous vous proposons notre article à ce sujet.