Sous-traitants
Home » RGPD » Acteurs principaux » Sous-traitants

Qui sont ces acteurs ?

Un sous-traitant est défini à l’art. 4(8) du RGPD comme une “personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement”. Cela démontre qu’une grande variété d’entités peut être considérée comme un sous-traitant, à condition qu’il s’agisse d’une entité distincte du responsable du traitement et que le traitement ait lieu pour le compte du responsable du traitement. Les responsables du traitement peuvent également traiter eux-mêmes des données à caractère personnel, bien entendu. Toutefois, ils resteront des responsables du traitement s’ils ne traitent pas seulement des données à caractère personnel mais déterminent également les moyens et les finalités du traitement.

Quelles sont leurs tâches ?

Le sous-traitant traite des données à caractère personnel pour le compte du responsable du traitement. Le sous-traitant doit mettre en œuvre les mesures organisationnelles et techniques appropriées pour assurer la protection des données. Le traitement lui-même peut être à la fois une tâche spécifique et détaillée ou un traitement plus général. Un responsable du traitement peut donc également décider de ne déléguer qu’une partie spécifique du traitement à un sous-traitant externe, et de mener lui-même certaines parties du traitement.

Le traitement des données personnelles s’effectue selon les instructions du responsable du traitement. Par conséquent, les données à caractère personnel ne doivent pas être traitées d’une manière différente de celle convenue avec le responsable du traitement.

Un sous-traitant peut désigner des sous-traitants secondaires, mais il doit pour cela obtenir le consentement écrit du responsable du traitement. Le ou les sous-traitants secondaires doivent traiter les données dans les mêmes conditions que le sous-traitant initial.

Quels sont leurs droits et leurs responsabilités ?

Le sous-traitant agit selon les instructions et les conditions du responsable du traitement. Le sous-traitant est toutefois autorisé à utiliser et à choisir, dans une certaine mesure, les moyens techniques et organisationnels qu’il juge les plus appropriés pour le traitement. Ce niveau d’influence[1] du sous-traitant n’est toutefois pas défini, ce qui signifie que l’option la plus sûre serait de convenir par contrat d’un ensemble de moyens entre le sous-traitant et le responsable du traitement. Une distinction peut également être faite entre les moyens essentiels (quelles données, de qui, pendant combien de temps, qui doit y accéder) et non essentiels (aspects pratiques et techniques du traitement). Les moyens essentiels doivent clairement être fournis par le responsable du traitement car ils sont liés aux finalités du traitement. Les moyens non essentiels peuvent être examinés par le sous-traitant afin de mettre en œuvre et d’exécuter le traitement. Toutefois, comme nous l’avons vu précédemment, cette question doit être examinée au cas par cas.

En ce qui concerne les responsabilités, le sous-traitant doit fournir des “garanties suffisantes” (art.28(1) du RGPD) que le traitement répond aux exigences du RGPD. Ces garanties sont essentielles car le responsable du traitement a le devoir de ne faire appel qu’à des sous-traitants qui peuvent fournir de telles garanties et démontrer la conformité au RGPD et la protection des personnes concernées. L’art 28(3)(a-h) du RGPD liste toutes les informations qui doivent être incluses dans un contrat écrit entre le sous-traitant et le responsable du traitement avant tout traitement de données. Cela signifie que le sous-traitant ne doit agir que sur instruction écrite du responsable du traitement et garantit la sécurité et la confidentialité des données ainsi qu’une documentation de toutes les activités de traitement. L’article 30, paragraphe 2, du RGPD dispose que chaque sous-traitant doit “tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte d’un responsable du traitement”.

Exemple :

L’institution de recherche A a rassemblé une grande base de données qui contient des données personnelles de personnes concernées par le biais d’un questionnaire. L’institution A confie à la société d’analyse de données B la tâche d’analyser les données afin de trouver des relations cachées dans les données. Dans cet exemple, A agit en tant que responsable du traitement car il détermine les finalités et les moyens du traitement, tandis que B agit en tant que sous-traitant qui effectue le traitement pour le compte du responsable du traitement. La société d’analyse de données B décide maintenant d’utiliser les données personnelles à ses propres fins, qui n’ont pas été convenues contractuellement.

Avec ce traitement supplémentaire des données à caractère personnel, B devient un responsable du traitement pour ce nouveau type de traitement. Par ces actions, B enfreint également le RGPD.[2] Par conséquent, l’institution B est dans la situation de se voir imposer une amende administrative pour toute violation du RGPD qui pourrait résulter du nouveau traitement, y compris une éventuelle violation des données personnelles. En outre, dans ce cas, l’institution A n’est pas responsable de l’incident mentionné. L’institution A aurait dû choisir un sous-traitant plus approprié et obtenir au préalable des garanties sur le traitement conforme des données. Les accords contractuels sont utilisés pour définir clairement les rôles, les droits et les obligations/responsabilités de toutes les parties dans le cadre du traitement des données à caractère personnel.

 

  1. Pour plus d’informations sur ce niveau de compétence et une distinction entre les moyens essentiels et non essentiels, voir : EDBP. https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf p.14
  2. https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf p.25

 

Aller au contenu principal