Le Comité européen à la protection des données (CEPD) a publié, le 7 octobre 2024, un avis sur le recours aux sous-traitants et aux sous-traitants ultérieurs.
Dans une lecture conjointe avec ses lignes directrices datant de 2020 (sur les notions même de responsable du traitement et de sous-traitant dans le RGPD), cet avis apporte quelques précisions sur les obligations incombant aux responsables du traitement qui recourent à des chaînes de sous-traitance, dites en cascade.
Découvrez ci-dessous les points clés de l’avis du CEPD. Bien qu’il s’agisse d’un avis consultatif non contraignant, il constitue une référence influente pour anticiper l’interprétation du RGPD par les autorités de contrôle.
🏛️Quelle responsabilité dans une sous-traitance en cascade ?
Depuis l’entrée en vigueur du RGPD, une chose est claire : il ne suffit pas de s’y conformer, mais il faut être en mesure de démontrer cette conformité (principe d’accountability). Cette obligation incombe principalement au responsable de traitement.
Cependant, dans une chaîne de sous-traitance, souvent forte de complexité (sous-traitant principal ayant recours à un sous-traitant ultérieur etc.) , cette obligation devient de plus en plus lourde.
Toutefois, le CEPD est clair : cela n’allège les obligations du responsable de traitement en rien. Bien que le sous-traitant initial est responsable de la performance des obligations des sous-traitants ultérieurs vis-à-vis du responsable de traitement, celui-ci reste tenu de prouver que ses sous-traitants présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.
Le but ? Garantir le même niveau de protection des droits de la personne concernée tout au long du cycle de vie du traitement des données - indépendamment de la complexité de la chaîne.
Ainsi, bien que les sous-traitants jouent un rôle dans la sélection des sous-traitants ultérieurs et la vérification de leurs garanties, la décision d'y recourir et la responsabilité finale associée incombent au responsable de traitement.
👉 Le RT doit donc vérifier et documenter que chaque acteur de la chaîne présente des garanties suffisantes, techniques et organisationnelles, pour protéger les données personnelles.
🔍Vérification des garanties fournies par les sous-traitants ultérieurs
Identifier la chaîne de sous-traitance : un prérequis
Selon le CEPD, le responsable de traitement doit disposer à tout moment des informations relatives à l'identité (nom, adresse, personne de contact) de tous les sous-traitants mais aussi de tout sous-traitant ultérieur.
Cela inclut :
Nom, adresse, contact du sous-traitant (et de ses propres sous-traitants)
Mise à jour en temps réel de cette liste
Intégration de cette liste dans les contrats
Cette transparence est essentielle pour informer les personnes concernées (Article 13 et 14 du RGPD)et leur permettre d’exercer leurs droits (accès, opposition, etc.).
Vérification de la documentation pertinente
Comme le niveau de protection des données ne doit pas être inférieur à celui qu'aurait assuré le responsable de traitement lui-même sans recours à la sous-traitance, il est important que le responsable de traitement puisse aller au delà de la simple identification des acteurs de sa chaîne.
Encore faut-il vérifier activement les garanties fournies par chaque sous-traitant.
Par exemple :
Adhésion à un code de conduite
Détention d’une certification reconnue
Analyse des politiques de sécurité, politiques de confidentialité, conditions d'utilisation
Réalisation de questionnaires d’évaluation, audits
Pour en savoir plus, découvrez notre article Comment vérifier le respect du RGPD par ses sous-traitants?
⚠️ Le CEPD rappelle que ces vérifications s'imposent quel que soit le niveau de risque, mais que l'étendue de la vérification doit être adaptée à ce risque. Par exemple, en cas de traitement de données sensibles, un degré d’exigence accru est attendu :
- Mener des investigations plus poussées
- Demander des informations supplémentaires
- Consulter des sources accessibles
- Inclure des questionnaires
- Planifier des audits réguliers, etc.
Faut-il demander le contrat liant votre sous-traitant à son/ses propre(s) sous-traitant(s) ?
Le CEPD apporte ici une réponse nuancée. Non, ce n’est pas systématiquement obligatoire. Mais dans certains cas à risque ou en cas de doute sur la conformité des sous-traitants ultérieurs, cette demande est fortement recommandée.
En particulier si :
Le sous-traitant ultérieur a été impliqué dans une violation de données
Vous ne parvenez pas à évaluer les garanties autrement
À la demande du responsable de traitement, le sous-traitant est tenu de lui fournir ce contrat.
Il s'agit donc de vérifier la présence des mentions obligatoires que le contrat doit contenir en vertu de l'article 28 du RGPD, mais le contrat doit aussi prévoir les cas dans lesquels le sous-traitant pourrait être amené à traiter des données en dehors des instructions du responsable de traitement (par exemple, en cas d’obligation légale ou de décision contraignante d’une autorité gouvernementale).
Vérifier les clauses contractuelles est important, mais ne suffit pas. Le CEPD rappelle qu'une telle vérification ne peut être complète qu'en intégrant également des éléments factuels dans l’analyse.
🌍Quid des transferts de données hors UE/EEE dans la chaîne de sous-traitance ?
Les transferts internationaux de données sont un point critique. Si vos sous-traitants ou leurs propres sous-traitants transfèrent des données hors de l’UE, vous devez :
Recevoir la documentation pertinente complète (le fondement juridique du transfert, l’analyse d’impact, les mesures supplémentaires éventuelles, ainsi que le contrat de transfert);
Evaluer cette documentation et vérifier que les garanties RGPD sont respectées
Cartographier les transferts
La présence de transferts de données hors UE/EEE est perçue comme un facteur de risque, ce qui peut nécessiter une vérification plus approfondie.
🔎 Par exemple, si le traitement repose sur une décision d'adéquation, cela ne suffit pas : vous devez confirmer qu’elle est toujours valide et que le traitement entre bien dans son champ d’application.
🧑🚀Comment alléger vos tâches de vérification avec Dastra ?
Le CEPD le reconnaît : la vérification de toute une chaîne de sous-traitance est complexe et chronophage. Certains responsables de traitement (notamment dans le cloud) jugent cette tâche presque impossible.
Mais l’obligation demeure, et l’autorité n’accepte aucune exonération.
Documentez. Vérifiez. Tracez.
Et si un outil pouvait vous aider ?
Imaginez pouvoir :
- Cartographier vos sous-traitants (et sous-traitants de vos sous-traitants)
Centraliser vos documents
Générer et stocker les contrats
- Lancer des évaluations automatisées via des questionnaires
Suivre leur cycle de vie
Cartographier les transferts
📌 C’est exactement ce que propose une solution comme Dastra. Notre outil vous permet d’assurer la conformité RGPD dans un environnement de sous-traitance complexe, tout en gardant la main.
💡 Besoin d’outils ou de conseils pour structurer vos vérifications de conformité ?
Découvrez comment Dastra peut vous accompagner !