Article 28 du RGPD
Sous-traitant

1.   Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

2.   Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.

3.   Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public;

b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c) prend toutes les mesures requises en vertu de l'article 32;

d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;

e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation des données à caractère personnel; et

h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

4.   Lorsqu'un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d'un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations.

5.   L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.

6.   Sans préjudice d'un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu'elles font partie d'une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.

7.   La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d'examen visée à l'article 93, paragraphe 2.

8.   Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l'article 63.

9.   Le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.

10.   Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

L’article 28 du Règlement Européen sur la Protection des Données (RGPD) est relatif aux obligations du sous-traitant en matière de protection des données personnelles.

Pour rappel, le sous-traitant, est la personne ou l’organisme (souvent un prestataire de service) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD). Le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle.

💡 Par exemple : une entreprise A offrant une service d’envoi de newsletters utilise le fichier clients mis à sa disposition par l’entreprise B. L’entreprise A est le sous-traitant de l’entreprise B, responsable de traitement.

⚠️ Attention, l’entreprise A est également responsable de traitement lorsqu’elle traite des données personnelles pour son compte (article 28 RGPD, alinéa 10). Dans notre exemple, l’entreprise A est également responsable de traitement concernant les données personnelles qu’elle traite pour ses besoins de recrutement interne par exemple.

Parce que le responsable de traitement transfert des données personnelles à son sous-traitant, il doit naturellement présenter des garanties relatives à la protection des données personnelles.

L’objectif de l’article 28 du RGPD est d’énumérer ces obligations. Elles sont relatives à la transparence et l’assistance (#1) et la sécurité (#2).

#1 Obligation de transparence et d’assistance

Cette obligation se manifeste aussi bien au début de la relation commercial (1.1) que tout au long de celle-ci (1.2)

#1.1 La transparence dès le début de la relation commerciale

Par un contrat entre le sous-traitant et le responsable de traitement reprenant l’ensemble des obligations auxquelles ils s’engagent. Ce contrat doit notamment prévoir :

• L’objet, la durée, la nature et la finalité du traitement et le type de données personnelles (par exemple si les données présentent un caractère sensible) (article 28 RGPD, alinéa 3),
• Les instructions du responsable de traitement (article 28 RGPD, alinéa 3,a).
• Et peut contenir tout ou partie les clauses contractuelles types (CCT)(article 28 RGPD, alinéa 6 à 8). Pour plus d’informations sur ces clauses c’est par ici.

Ce contrat est souvent dénommé Data Processing Agreement (DPA) ou accord de traitement des données.

Par un contrat entre le sous-traitant initial et son sous-traitant. C’est l’hypothèse où le sous-traitant initial fait appel aux services d’un autre sous-traitant pour traiter des données transférées par le responsable de traitement. Dans ce cas, le sous-traitant initial doit :

• Obtenir l’accord écrit préalable du responsable de traitement (article 28 RGPD, alinéa 2), à moins qu’il ne soit prévu dans le contrat initial et informer le responsable de traitement en cas de modification du sous-traitant final.
• Conclure un accord similaire avec le sous-traitant final (article 28 RGPD, alinéa 3,d).
• En tout état de cause, le sous-traitant initial reste responsable vis à vis du responsable de traitement même en cas de manquement par le sous-traitant final (article 28 RGPD, alinéa 4).

#1.2 La transparence et l’assistance dans la durée

• Violation des règles en matière de protection des données personnelles : qu’elle soit du fait du sous-traitant (ou de son sous-traitant) ou du responsable de traitement dans ses instructions, il doit informer le responsable de traitement cette violation (article 28 RGPD, alinéa f et alinéa h).
• Dans la gestion des demandes d’exercice de droit : que la demande soit reçue par le responsable de traitement ou le sous-traitant, ce dernier doit aider le responsable à y donner suite (article 28 RGPD, alinéa 3,e). Par exemple, le sous-traitant doit rapidement procéder à la suppression de données personnelles de la personne ayant formulée cette demande.
• Dans l’hypothèse d’un contrôle ou d’un audit le sous-traitant doit mettre à disposition du responsable de traitement toutes informations de nature à démontrer qu’il respecte ses obligations (article 28 RGPD, alinéa 3,h).

#2 Obligation de sécurité

Au titre de son obligation de sécurité, le sous-traitant a pour principal mission de :

• Mettre en oeuvre les mesures techniques pour garantir un niveau de sécurité adapté au risque (article 28 RGPD, alinéa c renvoyant à l’article 32 RGPD). Par exemple, le sous-traitant peut choisir de procéder à la pseudonymisation des données personnelles ou mettre en place des tests régulier de sécurité des systèmes.
• Informer immédiatement la CNIL et la personne concernée par une violation des données personnelles (article 28 RGPD, alinéa f renvoyant à l’article 33 RGPD et l’article 34 RGPD)
• Veiller à ce que ses employés soient soumis à une obligation de confidentialité (article 28 RGPD, alinéa b)
• Supprimer ou restituer intégralement les données personnelles au terme de sa prestation de service sauf obligation légale contraire (par exemple obligation comptable relative à la facturation) (article 28 RGPD, alinéa g).