Sous-traitant RGPD : obligations et contrat type DPA

Qu est-ce qu un sous-traitant au sens du RGPD ?

Le sous-traitant est la personne physique ou morale qui traite des donnees personnelles pour le compte d un responsable de traitement. Cette definition couvre un large eventail de prestataires : hebergeurs web, editeurs de logiciels SaaS, prestataires de paie, agences marketing, societes de maintenance informatique ou encore centres d appels.

La qualification de sous-traitant depend du role effectif de l organisme dans le traitement des donnees, et non de la denomination du contrat. Un prestataire qui recoit des instructions precises sur la maniere de traiter les donnees agit comme sous-traitant. En revanche, s il determine les finalites et les moyens du traitement, il devient responsable de traitement.

Les obligations du sous-traitant RGPD

Le RGPD impose des obligations specifiques aux sous-traitants. Le sous-traitant ne doit traiter les donnees que sur instruction documentee du responsable de traitement. Il doit garantir la confidentialite des donnees en s assurant que les personnes autorisees a traiter les donnees se sont engagees a respecter cette confidentialite.

Le sous-traitant doit mettre en oeuvre les mesures techniques et organisationnelles appropriees pour assurer la securite des donnees. Il doit aider le responsable de traitement a respecter ses obligations, notamment en matiere de reponse aux demandes d exercice des droits des personnes concernees.

Le contrat de sous-traitance (DPA)

L article 28 du RGPD impose la conclusion d un contrat de sous-traitance, souvent appele DPA (Data Processing Agreement). Ce contrat doit obligatoirement contenir plusieurs clauses. Il definit l objet et la duree du traitement, sa nature et sa finalite, le type de donnees personnelles traitees et les categories de personnes concernees.

Le contrat doit preciser les obligations et les droits du responsable de traitement. Il doit indiquer les mesures de securite mises en oeuvre par le sous-traitant. Les conditions de recours a un sous-traitant ulterieur doivent etre encadrees, avec une autorisation prealable ecrite du responsable de traitement.

Les clauses essentielles du DPA

Le DPA doit contenir une clause sur le sort des donnees a la fin de la prestation : restitution ou suppression selon le choix du responsable de traitement. Une clause de notification des violations de donnees dans les meilleurs delais est obligatoire. Le contrat doit aussi prevoir les conditions d audit par le responsable de traitement ou un tiers mandate.

La sous-traitance ulterieure

Le sous-traitant ne peut pas faire appel a un autre sous-traitant sans l autorisation prealable du responsable de traitement. Cette autorisation peut etre specifique (pour chaque sous-traitant ulterieur) ou generale (avec un droit d opposition). En cas d autorisation generale, le sous-traitant doit informer le responsable de traitement de tout changement prevu.

Le sous-traitant ulterieur est soumis aux memes obligations que le sous-traitant initial. Le sous-traitant initial reste pleinement responsable vis-a-vis du responsable de traitement de l execution des obligations par le sous-traitant ulterieur.

Les responsabilites du sous-traitant

Le sous-traitant engage sa responsabilite s il ne respecte pas les obligations qui lui incombent en vertu du RGPD ou s il agit en dehors des instructions du responsable de traitement. Dans ce dernier cas, il peut etre requalifie en responsable de traitement pour le traitement concerne.

Les sanctions prevues par le RGPD s appliquent aussi aux sous-traitants. La CNIL peut prononcer des amendes administratives a leur encontre en cas de manquement a leurs obligations specifiques.

Les bonnes pratiques pour encadrer la sous-traitance

Etablissez un inventaire de tous vos sous-traitants qui traitent des donnees personnelles. Verifiez que chaque relation de sous-traitance est encadree par un contrat conforme a l article 28 du RGPD. Evaluez le niveau de securite de vos sous-traitants avant de leur confier des donnees.

Mettez en place un processus de suivi regulier de vos sous-traitants. Prevoyez des audits periodiques pour verifier le respect des engagements contractuels. Documentez les garanties apportees par chaque sous-traitant et conservez les preuves de conformite. En cas de changement de sous-traitant, assurez-vous de la restitution ou de la suppression des donnees par l ancien prestataire.

Article redige par Laurent de Cavel, DPO certifie. Publie sur DPO Partage, le portail francophone de reference sur le RGPD et la protection des donnees personnelles.