RGPD : Responsables de traitement et sous-traitants, quelles bonnes pratiques ?

RGPD : Responsables de traitement et sous-traitants, quelles bonnes pratiques ?

Le sous-traitant et le responsable de traitement sont tenus à un certain nombre de nouvelles obligations en application du RGPD. La CNIL, qui a réalisé des vérifications auprès de 15 fournisseurs de services et solutions informatiques en ligne, rappelle quelques bonnes pratiques à adopter.

Depuis l’entrée en application du RGPD, de nouvelles obligations pèsent sur les sous-traitants comme sur les responsables de traitement.

Les contrôles réalisés par la CNIL, dans le cadre des thématiques de contrôles prioritaires pour 2019, ont mis en évidence une réelle prise de conscience des nouvelles obligations pesant sur les sous-traitants avec notamment l’élaboration par les sous-traitants eux-mêmes de modèles de clauses contractuelles, en annexe du contrat de sous-traitance (désigné également contrat de prestations de services).

Ces conseils s’inscrivent dans la continuité du guide du sous-traitant publié par la CNIL en septembre 2017. Des travaux sont en cours au niveau du Comité européen de la protection des données sur les notions de responsable de traitement et de sous-traitant, qui permettront de préciser et compléter ces premiers rappels.

Déterminer le statut des acteurs impliqués

Lorsqu’un organisme traite des données personnelles pour le compte d’un responsable de traitement, il est considéré comme son sous-traitant au sens du RGPD. C’est également le cas s’il fournit une solution « clé en main », si cet organisme traite effectivement des données personnelles (et n’est pas, par exemple, uniquement éditeur de logiciels).

À l’inverse, si le sous-traitant traite également les données issues de ce traitement pour son propre compte (par exemple, à des fins de gestion de la relation client ou encore de comptabilité), il sera considéré comme responsable de traitement pour ce traitement spécifique.

Les conseils de la CNIL

Le donneur d’ordre et le prestataire de service définissent chacun leur rôle sur la base de la réglementation applicable (articles 4.7, 4.8 et 28.10 du RGPD), en menant l’analyse ensemble, afin de pouvoir ensuite s’accorder sur leurs obligations respectives.

Cela vaut également pour les cas de sous-traitance n’impliquant qu’un accès ponctuel aux données personnelles (telles que les opérations de maintenance). Attention, cela ne signifie pas que les parties peuvent « choisir » ensemble la qualification qui les arrange.

Cette clarification est essentielle pour assurer la sécurité juridique des deux parties au contrat.

Établir un contrat clair

Le responsable de traitement et le sous-traitant doivent conclure un contrat incluant plusieurs mentions obligatoires listées à l’article 28.3 du RGPD.

Cela doit permettre aux parties :

  • d’organiser leurs rapports et leurs obligations respectives au regard de la protection des données personnelles ;  
  • d’intégrer l’ensemble des mentions listées à l’article 28.3 du RGPD, en les adaptant à leur situation, et mettre en œuvre les obligations ainsi définies.

Documenter l’activité de sous-traitance

Le responsable de traitement doit s’assurer que son sous-traitant respecte le RGPD. Pour ce faire, le contrat doit impérativement comporter une clause selon laquelle le sous-traitant tient à disposition du donneur d’ordre toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre la réalisation d’audit par le responsable de traitement (ou un autre auditeur qu’il a mandaté).

Proposer des outils respectueux des données personnelles

Le sous-traitant doit offrir des garanties suffisantes pour répondre aux exigences du RGPD (article 28.1 du RGPD). Il doit proposer des solutions et outils respectueux des données personnelles.

Il a également un rôle d’assistance et de conseil à l’égard du responsable de traitement. Il doit alerter le responsable de traitement s’il estime qu’une instruction qu’il reçoit constitue une violation de la réglementation applicable en matière de données personnelles.

Pour sa part, le responsable de traitement doit veiller à recourir à des services qui incluent des fonctionnalités et outils techniques qui lui permettront d’assurer sa conformité.

Aider le responsable de traitement à répondre aux demandes d’exercices des droits des personnes

Le sous-traitant doit aider le donneur d’ordre dans le traitement des demandes d’exercice des droits qu’il reçoit (accès, rectification, effacement, limitation, portabilité) conformément à l’article 28.3.e) du RGPD. Cette assistance est d’autant plus essentielle que le sous-traitant est parfois le plus à même d’assurer la mise en œuvre technique des suites apportées aux demandes d’exercice des droits.

Il est donc important d’organiser, dès la conclusion du contrat de sous-traitance, les modalités de cette assistance et de veiller à ce que la solution fournie par le sous-traitant intègre des fonctionnalités permettant de répondre à ces demandes facilement et rapidement. 

Garantir la sécurité des données collectées

Le responsable de traitement doit faire appel à un sous-traitant qui présente des garanties suffisantes en termes de sécurité. Le sous-traitant doit, quant à lui, assurer un niveau de sécurité suffisant au regard de la nature des données collectées pour le responsable de traitement (article 32 du RGPD).

En pratique, le sous-traitant joue un rôle fondamental dans la mesure où, bien souvent :

  • il assurera la mise en œuvre effective des traitements de données personnelles ;
  • il détient le savoir-faire et la maîtrise technique de la solution commercialisée.

En cas de violation de données, le sous-traitant doit également aider le responsable de traitement, à remplir ses obligations de notification à la CNIL et de communication à la personne concernée le cas échéant.


Source : CNIL


Nous accompagnons les organismes et les DPO dans leur démarche de mise en conformité avec le RGPD et de mise en sécurité de leurs données.

Que ça soit sous forme de mise en place de la démarche de mise en conformité, de formation, d’accompagnement de votre DPO ou de formation de votre personnel (n° formateur + datadock), nous adaptons notre démarche à votre organisme.

Je suis Denis JACOPINI – Consultant / Formateur CYBER et RGPD, Expert Informatique et régulièrement formé par la CNIL depuis 2012.
J’ai pris connaissance de ces informations et je trouvais utile de les partager avec vous.
J’espère qu’elles vous seront utiles et que vous les apprécierez.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *