Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER

Tout au long du texte, les sous-traitants sont mentionnés de pair avec les responsables de traitement. Selon l’article 4-8, le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». Il ne peut agir que dans le cadre d’un contrat ou d’un autre acte juridique de l’Union Européenne, qui rappelle ses obligations en matière de protection des données (art. 28-3).

En septembre 2017, la CNIL a édité un Guide du sous-traitant qui éclaire son rôle et sa nature dans la chaîne du traitement et de la protection des données.

Malgré sa définition précise, le terme sous-traitant peut s’appliquer à de nombreuses structures, ainsi listées :

« – les prestataires de services informatiques (hébergement, maintenance…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique ou anciennement sociétés de service et d’ingénierie en informatique (SSII) qui ont accès aux données ;

– les agences de marketing ou de communication qui traitent des données personnelles pour le compte de clients ;

– plus généralement tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme ;

– un organisme public ou une association peut également être amené(e) à recevoir une telle qualification ».

Attention, lorsqu’il traite des données pour son propre compte (gestion de son personnel par exemple), le sous-traitant est alors responsable du traitement. De même s’il détermine lui-même la finalité et les moyens d’un traitement.

En cas de doute sur le statut – responsable du traitement ou sous-traitant –, la CNIL renvoie à l’avis du 16 février 2010 des autorités de contrôle européennes, qui indique un faisceau d’indices qui peuvent être utilisés :

– l’autonomie du prestataire dans la réalisation de sa prestation ;

– le contrôle de la prestation ;

– la valeur ajoutée, c’est-à-dire l’expertise, fournie par le prestataire ;

– le degré de transparence sur le recours à un prestataire (son identité est-elle connue des personnes concernées qui utilisent les services du client ?).

Avec le RGPD, le sous-traitant est co-responsable. Il « aide le responsable du traitement à garantir le respect des obligations » (art. 28-3f). Il tient un « registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement » (art. 30-2). Et il doit, le plus souvent, lui aussi désigner un délégué à la protection des données (art. 37), nous y reviendrons.

La CNIL précise dans son guide ce qu’il faut entendre par les « garanties suffisantes » que le sous-traitant doit fournir pour pouvoir exercer son métier :

– transparence et traçabilité (contrat, instructions, registre et toutes informations nécessaires pour prouver le respect des obligations) ;

– protection des données dès la conception et par défaut (traitement a minima, en rapport avec la finalité et elle seule, durée limitée) ;

– sécurité des données traitées (confidentialité, notification en cas de violation des données, suppression ou renvoi des données au terme de la prestation) ;

– assistance, alerte et conseil.

Si le sous-traitant sous-traite à son tour, il doit obtenir au préalable une autorisation écrite du responsable du traitement (art. 28-2). Ce deuxième sous-traitant est soumis aux mêmes obligations, même s’il est établi en dehors de l’Union Européenne. S’il ne les respecte pas, le premier sous-traitant est tenu pour responsable. Autrement dit, on ne saurait se dédouaner en cas de problème en évoquant la localisation au Maroc ou à Singapour d’un prestataire pour justifier un traitement non conforme au RGPD.

La CNIL recommande une modification des contrats en cours, par avenants, afin d’y intégrer les clauses obligatoires prévues par le règlement européen.

Si un sous-traitant exerce dans plusieurs pays de l’U.E., un guichet unique est possible. L’article 56-1 prévoit que « l’autorité chef de file » sera celle de l’établissement principal. Si un sous-traitant ne possède pas d’établissement dans l’U.E., il doit alors désigner un représentant, qui sera l’interlocuteur des personnes concernées et des autorités de contrôle.

Les sanctions appliquées à un sous-traitant en cas de manquements à ses obligations peuvent être aussi lourdes que celles infligées à un responsable du traitement.