Le sous-traitant est-il responsable selon le RGPD ?
Entré en application en mai 2018, le Règlement Général sur la Protection des Données marque un tournant majeur en matière de protection des données à caractère personnel en Europe. Non seulement il renforce les droits et libertés des personnes concernées et alourdit les sanctions pouvant être prononcées, mais confère également de nouvelles obligations aux différents acteurs impliqués.
La responsabilisation de l’ensemble des acteurs est en effet l’un des apports du RGPD et pour assurer un niveau de protection suffisant des données personnelles tout au long de leur traitement, il est nécessaire que tous les acteurs, responsables de traitement et sous-traitants, collaborent à la mise en place de mesures adaptées et suffisantes.
Ainsi, le sous-traitant joue un rôle essentiel dans le traitement des données au nom du responsable de traitement. Les obligations à sa charge ont été renforcées et sa responsabilité peut être remise en cause dans le cas où il omet de mettre en place les mesures nécessaires pour s’y conformer. Son identité est une information primordiale à faire figurer lors de la conception et de l’entretient de son registre des traitements afin de démontrer la conformité de sa démarche.
Le sous-traitant RGPD : qui est-il ?
Lorsque l’on effectue un traitement de données personnelles, plusieurs acteurs peuvent intervenir. On distingue le sous-traitant et le responsable de traitement. Ce dernier représente la personne ou l’organisme qui définit les finalités du traitement (les raisons pour lesquelles les données sont traitées, collectées, conservées…), ainsi que les moyens du traitement (les procédés et les actions qui seront menés).
Le sous-traitant représente quant à lui la personne ou l’organisme, distinct du responsable de traitement, qui va agir pour le compte de celui-ci. Il s’agit donc de la personne qui va intervenir à la demande du responsable de traitement et qui va réaliser les actions qui lui sont confiées en suivant ses consignes. Il est possible toutefois qu’une marge de manœuvre soit conférée au sous-traitant en lui permettant de décider par exemple de certains moyens techniques. Ainsi, le responsable de traitement décide des éléments essentiels du traitement alors que le sous-traitant ne peut décider que des moyens non-essentiels.
Vous êtes alors un sous-traitant si vous traitez des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement. Contrairement au responsable de traitement, vous ne déterminez pas les finalités et moyens correspondant au traitement en question.
Une très grande variété de prestataires de services peut avoir la qualité de sous-traitant. Les activités des sous-traitants peuvent concerner une tâche bien précise, telle que la sous-traitance d’envoi de courriers, ou être plus générales et étendues, comme dans le cadre de la gestion de l’ensemble d’un service pour le compte d’un autre organisme (la gestion de la paie des employés par exemple). Ainsi, des prestataires de services qui fournissent des services de traitement de données à des organismes sont généralement considérés comme des sous-traitants.
Quelles sont les obligations & tâches du sous-traitant ?
Le RGPD exige que la relation entre le responsable de traitement et le sous-traitant soit régie par un contrat. Celui-ci doit notamment définir le traitement des données personnelles faisant l’objet de la sous-traitance ainsi que les obligations de chacune des parties.
En plus des principes fondamentaux du RGPD qui doivent être respectés, tels que la licéité, la limitation des finalités et la minimisation des données, les sous-traitants sont tenus de mettre en place des mesures appropriées pour garantir une protection suffisante des données traitées (notamment lorsqu’il peut s’agir de données sensibles). Cela comprend des mesures non seulement techniques, telles que le cryptage des données, la pseudonymisation ou encore la limitation des accès aux données, mais aussi des mesures contractuelles et organisationnelles.
En outre, le sous-traitant est tenu d’informer dans les meilleurs délais le responsable du traitement en cas de violation de données personnelles et il revient au responsable de traitement d’évaluer la nature et l’ampleur de la ou des violations, d’identifier les mesures appropriées pour y remédier et de décider quant à la notification ou pas de la CNIL et des personnes concernées.
Dans le cas où le sous-traitant recourt à un autre sous-traitant pour effectuer une partie du traitement de données à caractère personnel, il doit obtenir l’autorisation préalable du responsable de traitement et ne doit recourir qu’à des sous-traitants mettant en œuvre des mesures suffisantes pour assurer la conformité des traitements de données. De plus, un contrat de sous-traitance doit être conclu avec chacun des sous-traitants ultérieurs, établissant de manière claire les responsabilités de chacune des parties en matière de protection des données.
Le sous-traitant doit aussi respecter les instructions du responsable de traitement et traiter les données conformément à ces instructions. Il doit par ailleurs coopérer activement avec le responsable de traitement, et lui fournir l’assistance nécessaire pour s’acquitter de ses obligations en matière de protection des données. Cela peut inclure la réalisation des analyses d’impact sur la protection des données, la mise en place de mesures techniques et organisationnelles pour éviter tout accès non autorisé ou toute divulgation des données, etc. Le sous-traitant doit également mettre à la disposition du responsable de traitement les informations nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits.
Des condamnations possibles
La responsabilité du sous-traitant peut être engagée par une autorité de contrôle en cas de manquement à ses obligations. C’est le cas par exemple d’un sous-traitant qui ne met pas en place les mesures nécessaires pour empêcher un accès non autorisé aux données.
Ainsi, en janvier 2021, un responsable de traitement et son sous-traitant ont écopé d’une sanction de 150 000 euros et 75 000 euros par la CNIL pour ne pas avoir pris de mesures suffisantes pour faire face à des attaques par bourrage d’identifiants (credential stuffing) sur le site web du responsable de traitement.
De même, en avril 2022, la CNIL a sanctionné un sous-traitant de 1,5 million d’euros d’amende pour avoir manqué à son obligation d’assurer la sécurité des données et à l’obligation de respecter les instructions du responsable de traitement.
