Le sous-traitant occupe une place cruciale dans la chaîne de traitement : il exécute pour le compte du responsable les opérations sur vos données personnelles. Du contrat aux mesures de sécurité en passant par la responsabilité en cas de manquement, découvrons comment encadrer efficacement ce prestataire pour protéger vos informations.
1) Rôle et définition du sous-traitant
Le RGPD entend par « sous-traitant » toute personne physique ou morale traitant des données à caractère personnel pour le compte du responsable de traitement. Cette définition, réintroduite en droit français par l’article 35 de la loi du 6 janvier 1978 modifiée puis renvoyée aux dispositions européennes par l’ordonnance de 2018, couvre tant les sociétés de maintenance informatique, hébergeurs de données et prestataires d’analyses marketing que les experts-comptables ou services de paie externes.
Le sous-traitant n’est pas libre de déterminer les finalités : il doit agir exclusivement selon les instructions écrites du responsable. Cette relation de « mandataire digital » implique un devoir d’obéissance et de transparence, gages de la sécurité et de la confidentialité.
2) Contrat et obligations essentielles
Le contrat entre le responsable de traitement et le sous-traitant est un élément central du RGPD. Il encadre toute la relation entre les deux parties. Ce contrat doit être précis et détaillé. Il doit indiquer la nature du traitement, sa durée, ses objectifs et les types de données concernées. Il doit aussi inclure des engagements clairs en matière de sécurité.
Le sous-traitant ne peut pas changer les objectifs du traitement par lui-même. Il doit appliquer les mesures techniques adaptées, comme le chiffrement ou la pseudonymisation. Il est aussi tenu de tester régulièrement la sécurité de ses systèmes. Il doit tenir à jour un registre des traitements réalisés pour le compte du responsable. Et surtout, il doit signaler immédiatement toute violation de données.
Si ce contrat est absent ou mal respecté, les risques sont importants. Le sous-traitant peut recevoir une sanction directe. Il peut aussi être tenu responsable indépendamment du responsable. Cela vaut notamment s’il agit en dehors des instructions reçues.
Le RGPD encadre aussi la sous-traitance en cascade. Cela signifie que le sous-traitant ne peut pas faire appel à un autre prestataire sans l’accord du responsable. S’il y est autorisé, il doit imposer les mêmes règles à ce nouveau prestataire. Cela garantit une continuité dans la protection des données à chaque niveau d’intervention.
3) Sécurité et responsabilité en cas de manquement
Le RGPD impose au sous-traitant les mêmes obligations de sécurité que celles du responsable de traitement. Il doit protéger les données personnelles contre les risques d’accès non autorisé, de fuite ou de problème technique. Si un incident survient, il doit prévenir rapidement le responsable. Cette alerte doit être envoyée dans un délai maximum de 72 heures. Elle doit aussi être accompagnée d’un rapport détaillé expliquant les faits.
Si ce délai n’est pas respecté, ou si l’incident est dissimulé, des sanctions peuvent tomber. Le sous-traitant risque une amende importante. Elle peut atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, selon le montant le plus élevé. Cette règle montre que la sécurité des données est une priorité.
Mais ce n’est pas tout. Le sous-traitant peut aussi être poursuivi en justice par une personne victime d’un traitement fautif. Si un particulier subit un préjudice, il peut demander réparation devant un tribunal civil. Dans ce genre de situation, les compagnies d’assurance veulent des garanties. Elles réclament souvent une copie du contrat de sous-traitance. Elles demandent aussi des preuves que les règles de sécurité ont bien été appliquées. Cela leur permet d’évaluer le risque et de savoir si elles couvrent les conséquences du litige.
4) Conseils pratiques pour choisir et encadrer un sous-traitant
Avant de confier vos données à un prestataire, réalisez un audit préalable pour vérifier ses certifications (ISO 27001, HDS pour la santé) et ses procédures internes : politique de mot de passe, contrôle des accès, plan de gestion des incidents. Prévoyez des clauses de réversibilité pour maîtriser la portabilité des données en cas de fin de contrat.
Assurez-vous que le contrat inclut une clause de contrôle : audits réguliers in situ ou revues à distance, et indicateurs de performance en matière de sécurité. Enfin, organisez un processus de mise à jour des clauses tous les ans ou à chaque évolution réglementaire, afin de garantir que votre sous-traitant reste aligné avec les meilleures pratiques et exigences légales.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
-
Règlement (UE) 2016/679 (RGPD) – Article 4(8) et Article 28 : définition et obligations du sous-traitant
-
Loi n° 78-17 du 6 janvier 1978 – Article 35 : cadre de la sous-traitance en droit français
