Points clés
- Le RGPD distingue responsable de traitement et sous-traitant — une distinction aux implications contractuelles et réglementaires majeures.
- La responsabilité ne peut pas être intégralement transférée à un sous-traitant — le responsable de traitement reste juridiquement exposé.
- Les contrats de sous-traitance (DPA) doivent être vérifiés et mis à jour régulièrement pour rester opposables.
- La chaîne de sous-traitance complique la responsabilité : il faut connaître les sous-traitants de ses sous-traitants.
La cartographie des responsabilités : responsable versus sous-traitant
Le RGPD distingue le responsable de traitement — l'entité qui détermine les finalités et les moyens du traitement — du sous-traitant — l'entité qui traite les données pour le compte du responsable. Cette distinction a des implications juridiques et contractuelles considérables. Le responsable de traitement est l'interlocuteur des régulateurs et des personnes concernées. Il est directement exposé aux sanctions. Le sous-traitant est tenu par des obligations contractuelles et légales spécifiques. Clarifier cette distinction pour chacun des traitements de l'organisation est une étape fondamentale de la gouvernance data.
L'illusion du transfert de responsabilité
Un responsable de traitement ne peut pas transférer sa responsabilité à ses sous-traitants. Il peut choisir des sous-traitants présentant des garanties suffisantes, formaliser ses exigences dans des contrats adéquats et auditer leur conformité — mais il reste juridiquement exposé en cas de défaillance du sous-traitant. Les régulateurs tiennent les responsables de traitement pour responsables même quand la défaillance est survenue chez un prestataire. L'organisation doit donc exercer une diligence active sur ses sous-traitants, pas simplement exiger leur signature d'un contrat standard.
Les contrats de sous-traitance data : au-delà de la formalité
Les Data Processing Agreements (DPA) — contrats encadrant les traitements confiés à des sous-traitants — doivent contenir les clauses imposées par l'article 28 du RGPD. Dans la pratique, ces contrats sont souvent signés comme une formalité administrative sans examen approfondi de leur contenu. Les organisations doivent vérifier que ces contrats définissent précisément les finalités, les mesures de sécurité requises, les obligations de notification en cas de violation et les conditions de sous-traitance ultérieure. Ces vérifications doivent être renouvelées lors des révisions contractuelles, pas effectuées une seule fois.
La chaîne de sous-traitance : un risque structurel
Les sous-traitants ont eux-mêmes des sous-traitants — et ces sous-traitants ultérieurs traitent potentiellement des données personnelles pour le compte du responsable de traitement initial, souvent à son insu. Le RGPD impose que les sous-traitants obtiennent une autorisation écrite du responsable de traitement avant de recourir à un sous-traitant ultérieur. Dans la pratique, cette chaîne de sous-traitance est rarement maîtrisée. Une organisation qui héberge ses données chez un cloud provider doit savoir que ce provider héberge lui-même dans des data centers tiers, avec leurs propres pratiques de sécurité.
Exercer une diligence active sur les sous-traitants
La diligence sur les sous-traitants data est un processus continu. Elle inclut la vérification initiale des certifications et mesures de sécurité lors de la sélection, l'audit périodique de la conformité contractuelle, la surveillance des notifications que les sous-traitants ont l'obligation de transmettre en cas de violation ou de changement significatif, et la révision des contrats lors du renouvellement des engagements. Cette diligence active est le seul moyen pour un responsable de traitement de se prémunir contre le risque de défaillance chez ses prestataires.