Imprimer

Le statut de sous-traitant, ses obligations et ses droits



Le Règlement (UE) 2016/679 (ci-après « GDPR ») renforce dans le droit de la protection des données à caractère personnel la notion de sous-traitant et lui adjoint un ensemble d’obligations, mais également de droits vis-à-vis du responsable du traitement.

Le GDPR définit (cf. Note 1) le sous-traitant comme étant « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Le sous-traitant se distingue ainsi du responsable du traitement qui, lui, « détermine les finalités et les moyens du traitement » (cf. Note 2).

Sont donc des sous-traitants au regard du GDPR le gestionnaire de parc informatique, l’hébergeur internet, le fournisseur de services de sauvegarde de données en ligne, le secrétariat social en charge de la gestion de l’administration du personnel, etc.

Le sous-traitant est néanmoins responsable du traitement des données qu’il traite pour son propre compte, comme par exemple la gestion de son personnel ou encore la maintenance de ses propres systèmes informatiques.

Il est parfois peu évident de déterminer si l’on est confronté à un responsable du traitement ou à un sous-traitant. Afin de le déterminer il peut s’avérer utile de se référer à l’avis 1/2010 du groupe de travail « Article 29 » sur la protection des données (cf. Note 3).

Le GDPR trouve à s’appliquer au sous-traitant si celui-ci est établi sur le territoire de l’UE. Mais également au sous-traitant établi en-dehors de l’UE mais dont les activités de traitement sont liées à l’offre de biens ou de servies à des personnes concernées dans l’UE, ou au suivi du comportement de ces personnes dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE (cf. Note 4).

Obligations

L’article 28 du Règlement (UE) 2016/679 définit les obligations générales du sous-traitant et les moyens qui sont mis à sa disposition pour se conformer au GDPR.

Le responsable du traitement doit, avant tout, ne faire appel qu’à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles répondant à l’exigence de conformité du traitement.

Le sous-traitant ne peut recruter un autre sous-traitant sans l’autorisation écrite préalable du responsable du traitement.

Le traitement doit désormais faire l’objet d’un contrat entre le responsable du traitement et son sous-traitant. Ce contrat devra définir l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

Ce contrat prévoit entre autres que le sous-traitant doit collaborer avec le responsable du traitement pour permettre à ce dernier de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits.

Il est prévu pour le responsable du traitement le droit à procéder à un audit du sous-traitant, y compris par des inspections. Cet audit peut être effectué soit par le responsable du traitement en personne, soit par un auditeur qu’il aura mandaté.

Lorsque, avec l’accord du responsable du traitement, le sous-traitant recrute un autre sous-traitant, un cadre juridique identique à celui mis en place entre le responsable du traitement et le sous-traitant doit être instauré entre les sous-traitants. Le sous-traitant initial reste responsable, vis-à-vis du responsable du traitement, de toute mauvaise exécution par l’autre sous-traitant de ses obligations en regard du GDPR.

Le sous-traitant est donc désormais pleinement responsable de son action en tant que sous-traitant dans le cadre d’un traitement de données à caractère personnel, et devra répondre de sa mauvaise exécution.

Registre

« Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement » (cf. Note 5).

Ce registre devra contenir les éléments suivants :

a) Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;

b) Les catégories de traitements effectués pour le compte de chaque responsable du traitement ;

c) Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées ;

d) Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles qui seront selon les besoins (cf. Note 6)

a. La pseudonymisation et le chiffrement des données à caractère personnel ;
b. Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
c. Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
d. une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement

Délégué à la protection des données

Les règles de désignation d’un Délégué à la Protection des Données (cf. Note 7) s’appliquent mutatis mutandis au responsable du traitement et au sous-traitant :

Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :

a) Le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;

b) Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou

c) Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.




Létitia Dumont
Claude Englebert

Avocats | DBB Defenso Avocats
LDumont@dbblaw.eu



Notes:

(1) Article 4, 8) du Règlement (UE) 2016/679.

(2) Article 4, 7) du Règlement (UE) 2016/679.

(3) Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant» du GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES, adopté le 16 février 2010, disponible à l’adresse https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf.

(4) Article 3 du Règlement (UE) 2016/679.

(5) Article 30, § 2 du Règlement (UE) 2016/679.

(6) Article 32, § 1 du Règlement (UE) 2016/679.

(7) Article 37 du Règlement (UE) 2016/679.

Imprimer cette fiche (format A4)