Sous-traitant

Le sous-traitant désigne la personne physique ou morale, qui traite des données à caractère personnel pour le compte du responsable du traitement.

Le sous-traitant doit servir l’intérêt du responsable du traitement en exécutant une tâche spécifique et en suivant les instructions données par le responsable du traitement, au moins en ce qui concerne la finalité et les éléments essentiels des moyens.

Le sous-traitant peut toutefois jouir d’une certaine autonomie dans la réalisation du traitement sous-traité et ainsi définir les éléments non essentiels de l’opération de traitement.

Cependant, lorsqu’un sous-traitant agit de manière contraire aux instructions du responsable du traitement, notamment en prenant des décisions quant à la finalité et aux éléments essentiels des moyens du traitement, il peut alors être requalifié de fait comme un responsable du traitement et ainsi être soumis aux obligations de ce dernier consacrées par le RGPD.

Le responsable du traitement ne peut recourir qu’à un sous-traitant présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du RGPD et garantisse la protection de la personne concernée.

Il doit donc notamment tenir compte des connaissances spécialisées du sous-traitant, de sa fiabilité et de ses ressources avant d’externaliser le traitement.

En tout état de cause, le traitement effectué par le sous-traitant doit être régi par un acte juridique tel qu’un contrat qui lie le sous-traitant à l’égard du responsable du traitement définissant notamment :

• L’objet du traitement ;
• La durée du traitement ;
• La nature du traitement ;
• La finalité du traitement;
• Le type de données à caractère personnel exploitées ;
• Les catégories de personnes concernées ;
• Les obligations et les droits du responsable du traitement.

Cet acte doit également notamment préciser que le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, qu’il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité, qu’il respecte les conditions pour recruter un autre sous-traitant, qu’il tienne compte de la nature du traitement et qu’il aide le responsable du traitement à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent.

Point RGPD

« Afin que les exigences du présent règlement soient respectées dans le cadre d’un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement. L’application par un sous-traitant d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut servir à démontrer le respect des obligations incombant au responsable du traitement. » 

Considérant 81 du RGPD

Point jurisprudence

La CNIL rappelle que « l’article 28 du RGPD apporte différentes garanties concrètes en matière de protection des données, en prévoyant par exemple la mise en place de mesures de sécurité ou l’aide devant être apportée par le sous-traitant au responsable de traitement en matière d’exercice des droits. »

CNIL, 16 juillet 2021, N° SAN-2021-012