Hébergeur cloud, outil d'emailing, prestataire de paie, agence marketing : vos sous-traitants traitent des données personnelles pour votre compte. Le RGPD encadre strictement cette relation. Voici ce que vous devez savoir et mettre en place.
L'article 4(8) du RGPD définit le sous-traitant comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».
La distinction fondamentale est la suivante : le responsable de traitement décide pourquoi et comment les données sont traitées (finalités et moyens). Le sous-traitant exécute le traitement selon les instructions du responsable. Un même organisme peut être responsable de traitement pour certaines activités et sous-traitant pour d'autres.
Voici des exemples courants de sous-traitants :
En revanche, un prestataire qui détermine lui-même les finalités du traitement (par exemple un réseau social qui exploite les données pour son propre compte) n'est pas un sous-traitant mais un responsable de traitement conjoint ou indépendant. La qualification juridique dépend de la réalité des relations, pas du contrat seul.
L'article 28 est le texte central qui régit la relation entre le responsable de traitement et son sous-traitant. Voici les obligations clés.
L'article 28(3) exige qu'un contrat ou acte juridique écrit lie le sous-traitant au responsable. Ce contrat, souvent appelé DPA (Data Processing Agreement), définit l'objet, la durée, la nature et la finalité du traitement, le type de données et les catégories de personnes concernées.
Le sous-traitant ne peut traiter les données que sur instruction documentée du responsable. Il ne peut pas utiliser les données pour ses propres finalités. S'il reçoit une instruction qu'il estime contraire au RGPD, il doit en informer le responsable.
Le sous-traitant doit s'assurer que les personnes autorisées à traiter les données se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité. Cela couvre tous les employés et intervenants du sous-traitant.
Le sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles adaptées au risque : chiffrement, pseudonymisation, contrôle d'accès, sauvegardes, tests réguliers de sécurité. Ces mesures doivent être décrites dans le DPA.
Le sous-traitant ne peut faire appel à un autre sous-traitant (sub-processor) qu'avec l'autorisation écrite préalable du responsable, générale ou spécifique. En cas d'autorisation générale, le sous-traitant doit informer de tout changement et laisser la possibilité de s'y opposer.
Le sous-traitant doit aider le responsable à répondre aux demandes d'exercice des droits des personnes : accès, rectification, effacement, portabilité. Il doit transmettre les demandes reçues directement et fournir les données nécessaires.
En cas de violation de données, le sous-traitant doit notifier le responsable dans les meilleurs délais après en avoir pris connaissance. Il doit fournir toutes les informations nécessaires pour que le responsable puisse notifier la CNIL dans les 72 heures.
À la fin de la prestation, le sous-traitant doit, au choix du responsable, supprimer ou restituer toutes les données personnelles et détruire les copies existantes, sauf obligation légale de conservation. Cette clause doit figurer dans le DPA.
Le contrat de sous-traitance (DPA — Data Processing Agreement) est le document juridique qui formalise la relation. L'article 28(3) liste les clauses qui doivent impérativement y figurer.
Un DPA conforme doit contenir au minimum :
La Commission européenne a publié des clauses contractuelles types (CCT) que vous pouvez utiliser comme base pour rédiger votre DPA. Cependant, ces clauses types doivent être adaptées au contexte spécifique de chaque relation de sous-traitance.
« Un DPA n'est pas un simple document administratif : c'est votre protection juridique en cas de problème. Prenez le temps de le rédiger correctement ou utilisez un outil qui vous guide. »
Le RGPD répartit les responsabilités entre le responsable de traitement et le sous-traitant. Chacun répond de ses propres manquements.
Il est responsable du choix de ses sous-traitants : il doit s'assurer qu'ils présentent des garanties suffisantes en matière de protection des données. Il définit les instructions, vérifie la conformité, signe le DPA et répond aux personnes concernées. En cas de manquement dans le choix ou la supervision du sous-traitant, il engage sa propre responsabilité. Sanctions : jusqu'à 20 millions d'euros ou 4 % du CA mondial.
Depuis le RGPD, le sous-traitant est directement sanctionnable pour ses propres manquements : défaut de sécurité, non-respect des instructions, absence de DPA, sous-traitance ultérieure non autorisée. Il peut également être tenu responsable du dommage causé par un traitement s'il a agi en dehors des instructions légales du responsable. Sanctions : jusqu'à 10 millions d'euros ou 2 % du CA pour les manquements à l'article 28.
Pour mieux comprendre les obligations liées à la sous-traitance, voici des situations concrètes que rencontrent la plupart des entreprises.
Vous utilisez AWS, OVH ou Azure pour héberger votre site web ou votre application. L'hébergeur est sous-traitant car il stocke les données personnelles de vos utilisateurs. Vous devez signer un DPA (la plupart des grands hébergeurs en proposent un en ligne), vérifier la localisation des serveurs (attention aux transferts hors UE) et vous assurer que le niveau de sécurité est adapté. L'hébergeur doit figurer dans votre registre des traitements.
Votre solution d'emailing (Brevo, Mailchimp, SendGrid...) traite les adresses email, les noms et parfois les données de segmentation de vos contacts. C'est un sous-traitant. Vérifiez où sont stockées les données (si hors UE, des clauses contractuelles types sont nécessaires), signez le DPA proposé par l'éditeur et documentez le traitement dans votre registre.
Votre expert-comptable accède aux données personnelles de vos salariés (bulletins de paie, déclarations sociales) et de vos clients (factures). Il agit comme sous-traitant pour ces traitements. Un DPA doit être signé, couvrant la confidentialité, la sécurité des accès, la durée de conservation et le sort des données en fin de mission.
Votre prestataire de maintenance ou d'infogérance accède à vos serveurs, postes de travail et sauvegardes. Il peut donc accéder aux données personnelles qu'ils contiennent. Même si l'accès est technique et non métier, il reste un sous-traitant au sens du RGPD. Le DPA doit préciser les conditions d'accès, l'engagement de confidentialité et les mesures de traçabilité des interventions.
Centraliser le suivi de vos sous-traitants est essentiel pour maintenir votre conformité. Dativo vous offre les outils pour le faire simplement.
Recensez tous vos sous-traitants, les données qu'ils traitent, la localisation de leurs serveurs et le statut de leur DPA. Tout est relié à votre registre des traitements.
Soyez alerté quand un DPA arrive à échéance ou quand un sous-traitant doit être audité. Ne laissez aucun contrat expirer sans renouvellement.
En cas de contrôle CNIL, exportez la liste complète de vos sous-traitants avec les DPA associés et les mesures de sécurité documentées.
Un sous-traitant est toute personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement. Exemples : hébergeur cloud, prestataire de paie, outil d'emailing, agence marketing, éditeur SaaS. Le sous-traitant agit sur instruction du responsable et ne décide pas des finalités du traitement.
Oui. L'article 28(3) du RGPD impose qu'un contrat ou un acte juridique écrit lie le sous-traitant au responsable. Ce contrat (DPA) doit contenir des clauses spécifiques : objet, durée, nature du traitement, obligations de sécurité, sort des données en fin de contrat. L'absence de DPA est en soi un manquement sanctionnable.
Oui, mais uniquement avec l'autorisation écrite préalable du responsable (article 28.2). En cas d'autorisation générale, le sous-traitant doit informer de tout changement et laisser la possibilité de s'y opposer. Le sous-traitant initial reste responsable des actes de son propre sous-traitant et doit lui imposer les mêmes obligations contractuelles.
Le responsable de traitement détermine les finalités et les moyens du traitement : il décide pourquoi et comment les données sont traitées. Le sous-traitant traite les données pour le compte du responsable, selon ses instructions. La qualification dépend de la réalité de la relation, pas uniquement de ce qui est écrit dans le contrat. Consultez notre guide RGPD pour approfondir.
Le sous-traitant est directement sanctionnable par la CNIL pour ses propres manquements. Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires pour les manquements aux obligations de l'article 28, et jusqu'à 20 millions ou 4 % pour les infractions les plus graves. Depuis 2018, plusieurs sous-traitants ont été directement sanctionnés en Europe.
Avec Dativo, recensez vos sous-traitants, gérez vos DPA et documentez votre conformité en toute simplicité. Essayez gratuitement.
Essayer Dativo gratuitement