Mon compte Devenir membre Newsletters

Comprendre le RGPD : focus sur le principe de coresponsabilité entre le responsable de traitement et le sous-traitant

Publié le par

A partir du 25 mai 2018, les exigences de protection des données à caractère personnel pourront être partagées entre responsables de traitement et leurs sous-traitants, en application du principe de coresponsabilité. Quelles garanties et clauses doit contenir le contrat de sous-traitance?

Comprendre le RGPD : focus sur le principe de coresponsabilité entre le responsable de traitement et le sous-traitant

Jusqu'à présent, les exigences de protection des données à caractère personnel ne s'imposaient qu'aux responsables de traitement. A partir du 25 mai 2018, les responsabilités peuvent être partagées avec leurs sous-traitants, en application du principe de coresponsabilité.

1 - Le principe de coresponsabilité entre le responsable de traitement et le sous-traitant : décryptage

Le Règlement européen sur la protection des données personnelles ( ou RGPD; pour l'appréhender dans sa globalité, rétroplanning compris, c'est ici) définit le sous-traitant comme la personne physique ou morale qui traite des données personnelles directement ou indirectement pour le compte du responsable de traitement. Sont ainsi concernés les hébergeurs, intégrateurs de logiciels, webmarketeurs, sociétés de sécurité informatique etc.

Le sous-traitant pourra engager sa responsabilité et être condamné au versement de dommages et intérêts en cas de manquements à ses propres obligations (décrites ci-après) ou s'il a agi en dehors des instructions licitées du responsable de traitement.

2 - Implications opérationnelles côté sous-traitant

Du point de vue du sous-traitant, la principale conséquence est qu'il devra respecter une grande partie des obligations déjà imposées aux responsables de traitements :

  • La tenue d'un registre des activités de traitement,
  • La mise en oeuvre de mesures de sécurité (exemples : outils de pseudonymisation ou de de chiffrement de données),
  • L'obligation de notification dans les meilleurs délais en cas de faille de sécurité ou de fuite d'informations,
  • La définition des processus concourant aux modalités d'exercice des droits des personnes mises en oeuvre par le responsable de traitement

Le sous-traitant devra également veiller à :

- challenger la licéité des instructions transmises par le responsable du traitement,

- disposer de l'autorisation du responsable de traitement afin de faire appel à un sous-traitant.

3- Implications opérationnelles côté responsable de traitement

Du point de vue du responsable de traitement, le principal corollaire est l'élaboration du contrat de sous-traitance qui devient obligatoire.

Le contrat de sous-traitance doit préciser a minima les éléments suivants :

  • l'objet et la durée du traitement concerné,
  • La nature et la finalité du traitement,
  • Le type de données traitées,
  • La catégorie de personnes concernées.

On veillera à inclure dans le contrat de sous-traitance des engagements contractuels forts en matière de :

- conformité des traitements aux instructions données par le responsable de traitement,

- confidentialité des données personnelles,

- mesures techniques et organisationnelles,

- respect des principes de privacy by design et security by default,

- sous-sous-traitance,

- respect des droits des personnes,

- notification des violations de données à caractère personnel,

- suppression et restitution des données,

- registre des catégories d'activité de traitement.

Dernier point: exiger contractuellement la mise à disposition par le sous-traitant de la documentation permettant de démontrer le respect de toutes ses obligations, et faciliter ainsi la réalisation d'audits.


L'auteur : Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).


La Rédaction