Comment se mettre en conformité avec le Règlement de protection des données (RGPD) ?

Le nouveau régime des sous-traitants


Dans le présent article, je propose que l'on évoque le nouveau régime de responsabilité des sous-traitants.

Le règlement impose des obligations spécifiques aux sous-traitants dont la responsabilité est désormais susceptible d’être engagée en cas de manquements.

Qui sont les sous-traitants ?

Un sous-traitant est une personne physique ou morale, une autorité publique, un service ou un autre organisme, qui traite des données à caractère personnel pour le compte du responsable de traitement, c'est-à-dire pour le compte de la personne qui détermine les finalités d'un traitement.

Une très grande variété de prestataires de services a la qualité de sous-traitant au sens juridique du terme. 

Sont notamment concernés par le règlement européen : 

  • les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique qui ont accès aux données, 
  • les agences de marketing ou de communication qui traitent des données personnelles pour le compte de clients et plus généralement, tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme.

Les sous-traitants concernés sont ceux qui sont établis dans l'UE ou dont l'activité de traitement est liée à l’offre de biens ou de services à des personnes concernées dans l’UE.

Qu'est-ce qui change ?

Dans notre droit positif (c'est-à-dire le droit actuellement en vigueur), seul le responsable de traitement peut engager sa responsabilité, c'est-à-dire le client du sous-traitant. Le sous-traitant est uniquement tenu de fournir une sécurité et une confidentialité suffisantes des données pour le compte du responsable de traitement. 

En revanche, le règlement européen consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE

Avec le RGPD, le sous-traitant devient par principe responsable et est astreint à de nouvelles obligations, précisément listées par le texte européen :

  • Il doit offrir des garanties suffisantes quant à la mise en oeuvre des mesures techniques et organisationnelles permettant de garantir un niveau de sécurité adapté au risque : le traitement mis en oeuvre pour le compte du client doit répondre aux exigences du règlement européen et protéger les droits des personnes concernées depuis sa conception (les outils utilisés intègrent de façon effective les principes relatifs à la protection des données) et par défaut (seules sont traitées les données nécessaires à la finalité du traitement).
  • il ne peut faire appel à un sous-traitant sans avoir obtenu l'autorisation écrite et préalable de son client.
  • il devra impérativement revoir la rédaction du contrat qui le lie à son client, lequel doit désormais prévoir les obligations de chaque partie et les dispositions de l'article 28 du Règlement, notamment le fait que : 
    • le sous-traitant ne traite les données que sur instructions documentées de son client. Cela signifie que le sous-traitant devra privilégier les échanges écrits avec son client pour rapporter la preuve qu'il agit sur ordre et non de son initiative,
    • le sous-traitant veille au respect de la confidentialité par les personnes au sein de son entreprise autorisées à traiter les données,
    • le sous-traitant met à la disposition du client toutes les informations documentant le respect de ces obligations,
    • le sous-traitant tient un registre des traitements.
  • il est soumis à une obligation d'assistance, d'alerte et de conseil à l'égard de son client.

Et si le sous-traitant n'est pas établi dans l'UE ?

Si le sous-traitant ne dispose pas d’établissement dans l’UE, il sera toutefois soumis à l’ensemble des dispositions du règlement européen dès lors :

- qu'il procède, pour le compte de son client, à des traitements de données de personnes se trouvant dans l’UE ;

- qu'il offre, pour le compte de son client, des biens ou des services ou suive le comportement de ces personnes. Il devra alors désigner un représentant dans l’UE pour être l’interlocuteur des personnes concernées et des autorités de contrôle pour toute question relative à ces traitements.

Quelles sont les sanctions à d'éventuelles manquements?

Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant. Le sous-traitant peut donc être tenu pour responsable du dommage causé et faire l’objet de sanctions administratives importantes pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 2% ou 4% du chiffre d'affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu. 


Il est temps de vérifier vos contrats...