Le sous-traitant est la personne qui « traite des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement ». Il ne détermine donc pas lui-même les finalités du traitement mais se contente d’agir sur instructions, à défaut il pourra être requalifié en responsable de traitement.
L’article 28 du RGPD dispose que, « lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée (…) le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’UE ou du droit d’un Etat membre (…).
Il faut donc nécessairement établir un contrat entre les deux acteurs, cette exigence est requise à titre de validité du traitement.
Son absence sera sanctionnée sur le fondement de l’article 83 du RGPD par une amende administrative pouvant aller jusqu’à 10 millions d’euros ou 2% du CA annuel mondial de l’entreprise.
En particulier, les contrats font partie des documents systématiquement demandés en cas de contrôle de l'autorité.
Voir notre webinar : [REPLAY] : Les 5 documents indispensables en cas de contrôle de la CNIL
Ce contrat doit être passé sous forme écrite, l’écrit électronique étant autorisé.
Le sous-traitant doit en outre :
- présenter des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées pour respecter le RGPD
- être choisi par le responsable de traitement (RT), y compris lorsqu’il a été lui-même recruté par un sous-traitant.
Il revient ainsi au responsable de traitement de s'assurer du respect de ces obligations.
Quelles sont les obligations en tant que RT ? voir notre article : Quelles sont mes obligations en tant que responsable de traitement ?
Le responsable de traitement à la passation du contrat doit veiller à ce qu’il respecte les exigences que l’on retrouve au paragraphe 3 de l'article 28. En particulier, le contrat doit décrire pour chaque traitement sous-traité :
- objet et durée du contrat,
- nature du traitemnet,
- finalité du traitement,
- type de données à caractère personnel,
- catégories de personnes concernées,
- obligations et droits du responsable de traitement.
L’étendue du traitement réalisé par le sous-traitant pour le compte du responsable de traitement est déterminée par « les instructions documentées » que ce dernier doit mentionner dans le contrat.
L'article 28 ajoute que le contrat doit également prévoir les obligations suivantes :
- traiter les données sur instructions documentées du RT
- s'engager au respect de la confidentialité pour les personnes qui traitent les données
- prendre des mesures de sécurité du traitement
- avoir une autorité écrite générale ou spécifique du RT pour recruter un autre sous-traitant
- aider le RT dans son obligation de respecter les droits des personnes
- aide le RT à réaliser les AIPD
- supprimer ou renvoie les données au RT à la fin du contrat
- permet au RT de réaliser des audits du ST sur la mise en oeuvre du traitement
On peut regrouper dans les 5 points suivants :
I) Déterminer les caractéristiques principales du contrat et inclure les instructions documentées du responsable du traitement pour le sous-traitant
Comme vu précédemment, le contrat devra faire l’objet de mentions strictes quant à l’objet et à la durée de la relation, et aux caractéristiques principales du traitement, que le sous-traitant devra consigner dans son registre.
Une attention particulière est à porter à la définition des « instructions documentées ». Les explications des actions requises du sous-traitant devront figurer dans le contrat, et certains documents comme des modèles ou procédures-types peuvent être annexés au contrat.
Ces instructions peuvent inclure les données que le sous-traitant doit inclure ou exclure du traitement, les procédures de collecte, de traitement, d’archivage des données, les moyens pour sécuriser les données etc.
Le sous-traitant ne devra pas aller au-delà de ces instructions sous peine d’être requalifié de responsable de traitement dans le cas où il prendrait l’initiative de décisions déterminant les moyens et finalités du traitement.
La seule exception à ce principe obligeant le sous-traitant à agir sur instructions est lorsque ce dernier est tenu de traiter ou transférer des données personnelles sur le fondement du droit de l’UE ou du droit de son Etat membre. Il faudra alors en informer le responsable de traitement sauf si la loi fondant ce traitement ou ce transfert interdit l’exercice de cette information pour des raisons d’intérêt public.
Concernant le champ des obligations du sous-traitant, l’article 28 prévoit qu’il sera tenu d’exécuter certaines obligations du RGPD, comme celle de confidentialité, de sécurité et toutes les autres obligations des articles 32 à 36 du RGPD.
Cependant, les parties restent libres de déterminer par des accords particuliers, même en présence de clauses contractuelles types, l’étendue de leurs obligations respectives tout comme la responsabilité en cas de manquement de la part du sous-traitant à ses obligations.
II) Aménager les responsabilités de chacun
L’article 82 du RGPD prévoit que « le sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il (…) a agi en dehors des instructions licites du responsable de traitement ou contrairement à celles-ci »
Il est donc possible pour les parties d’aménager leurs responsabilités par des clauses très explicites et limitées à leurs rapports.
Les personnes concernées pourront se retourner indifféremment contre l’une ou l’autre des parties en cas de violation de leurs droits. Toutefois cette possibilité ne doit pas permettre de mettre à la charge du sous-traitant des obligations disproportionnées, en passant un contrat manifestement déséquilibré.
La CNIL rappelle dès 2017 qu’une simple clause dans un contrat de sous-traitance ne peut pas exonérer le responsable de traitement de toute responsabilité, et notamment de toute l’étendue de son obligation de sécurité des données. Ainsi, il doit vérifier que les mesures prises par le sous-traitant sont adéquates et proportionnées même lorsqu'il fait peser une obligation de sécurité d'une partie des données du traitement sur lui.
Un tel type de clause de responsabilité permet toutefois de déterminer la part due par chaque acteur en cas de sanction.
III) Encadrer les conditions du recours à la sous-traitance par le sous-traitant
L'accord doit préciser que le sous-traitant ne peut faire appel à un autre sous-traitant sans l'autorisation écrite préalable du responsable du traitement, et définir si cette autorisation sera spécifique ou générale :
• autorisation générale = il faudra informer le responsable de tout changement de sous-traitant par écrit et lui donner la possibilité de s’y opposer
• autorisation spécifique = le contrat devra définir la procédure à suivre pour obtenir cette autorisation
Lorsque le nouveau contrat de sous-traitance est passé avec le sous-traitant initial, ce dernier à l’obligation de répercuter à son tour à son sous-traitant les obligations découlant du contrat initial.
Le 1er sous-traitant sera garant devant le responsable de traitement du respect des obligations du contrat et du RGPD de tous les sous-traitants ultérieurs.
Le contrat devra enfin spécifier les exigences requises du sous-traitant concernant les transferts vers des pays tiers à l’Union Européenne ou des organisations internationales, en tenant compte des dispositions de la Convention Européenne des droits de l’Homme et du RGPD.
En effet, le sous-traitant peut déléguer certaines activités du traitement à un sous-traitant situé dans un pays tiers. Si le contrat ne permet pas ce transfert hors de l’UE, le sous-traitant ne pourra se tourner que vers des acteurs nationaux, et ne pourra pas non plus traiter les données vers d’éventuelles filiales de sa société hors UE.
IV) Aménager les contours de la mission d’assistance du sous-traitant envers le responsable de traitement
La nécessité de mettre en place ce type de clauses se fondera sur l’obligation pour le sous-traitant d’assister et de conseiller le responsable de traitement, conformément à l’article 28.3 du RGPD.
L’accord devra donc contenir de manière détaillée la façon dont le sous-traitant peut aider le responsable de traitement à remplir ses obligations.
Le type et le degré d'assistance à fournir par le sous-traitant peuvent varier considérablement "compte tenu de la nature du traitement et des informations à fournir".
Concernant les mesures particulières d’aide et d’assistance, le sous-traitant doit aider le responsable à :
- adopter des mesures techniques et organisationnelles adéquates pour assurer la sécurité du traitement
- notifier les violations à l’autorité de contrôle et aux personnes concernées. En cela il doit le notifier chaque fois qu’il découvre une violation affectant ses traitements et installations informatiques. Un délai précis et une procédure à respecter pourront être donnés dans le contrat.
- réaliser les AIPD et lorsque cela est nécessaire à consulter l’autorité de contrôle.
Toutefois, toutes ces obligations ne transfèrent pas la responsabilité sur le sous-traitant, ce dernier n’étant tenu d’assister le responsable de traitement que si nécessaire et sur demande.
Un exemple d’assistance : la gestion des demandes d’exercice de droits
Le principe est que le responsable de traitement a l’obligation de veiller à ce que les demandes des personnes soient traitées. Mais le contrat doit prévoir que le sous-traitant a l’obligation de fournir une assistance "par des mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible".
La nature de cette assistance peut être très variable compte tenu de la nature du traitement et selon le type d'activité confiée au sous-traitant.
Cela pourra aller de la transmission rapide de toute demande reçue, jusqu’à la réponse à ces demandes, et ce notamment lorsque le sous-traitant est en mesure de gérer et extraire les données personnelles. Les instructions sur ce sujet peuvent être fournies au sous-traitant dans le contrat, avant le début des opérations.
Toutefois, c’est toujours au responsable de traitement de vérifier la recevabilité des demandes et le respect des exigences fixées par le RGPD.
V) Garantir la sécurité et la confidentialité des données
L’article 32 du RGPD précise qu’il appartient tant au responsable du traitement qu’au sous-traitant de déterminer les mesures techniques et organisationnelles de protection des données personnelles.
Même si le sous-traitant est déjà soumis aux obligations du RGPD, le contrat ne doit pas se contenter de reprendre les exigences de ce dernier concernant les mesures de sécurité.
Il faut indiquer en pratique quelles mesures de sécurité le sous-traitant s’engage à mettre en place, son obligation de consulter le responsable de traitement avant toute modification, mais aussi la nécessité pour lui d’effectuer un examen régulier de ces mesures pour vérifier leur effectivité au regard de l’évolution des risques.
Le responsable de traitement peut l’aider dans la détermination de la variation des risques.
Ce sont ces précisions qui permettent au responsable de traitement de déterminer si le sous-traitant présente les garanties appropriées, et de justifier de cette conformité auprès des personnes concernées conformément aux articles 5.2 et 24 du RGPD.
Selon les risques, une description détaillée des mesures de sécurité peut être nécessaire, mais parfois un niveau minimal de protection à atteindre pour le sous-traitant suffira. Dans la pratique, il pourra être annexé au contrat une liste des mesures de sécurité posée par le responsable de traitement, ou ce dernier pourra également valider une telle liste proposée par le sous-traitant.
La mise en application de codes de conduites ou de certifications renseignent eux aussi sur l’existence de garanties supplémentaires du sous-traitant dans son rôle de sécurisation du traitement.
La sécurité des données passe également par le biais du respect d’une obligation de confidentialité. Il faut inclure dans le contrat (sauf obligation légale déjà en place) l’obligation pour le sous-traitant, à chaque fois qu’il habilite une personne à traiter les données, de garantir le respect de la confidentialité par les acteurs successifs du traitement.
Formalisation du contrat grâce aux CCT
Le contrat de sous-traitance peut être rédigé ex nihilo pour s'adapter au mieux aux particularités de la situation, ou être issu de clauses types :
- celles de la Commission européenne
- celles de la CNIL qui sont de simples recommandations générales sur le contrat de sous traitance
Retrouvez ces modèles de clause directement dans Dastra au format word éditable. Créez un compte gratuit sur https://app.dastra.eu/signup