RGPDRGPDResponsableSous-traitant
Responsable de traitement et sous-traitant (RGPD)
La distinction entre responsable de traitement et sous-traitant est l'une des plus fondamentales du RGPD. Elle détermine qui supporte les obligations principales, qui peut être sanctionné par les autorités de contrôle, et comment les parties doivent encadrer leur relation contractuelle.
Le responsable de traitement (article 4(7))
Le responsable de traitement est la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. C'est la clé de la définition : celui qui décide pourquoi les données sont traitées et comment elles le sont.
Exemples de responsables de traitement :
Exemples de responsables de traitement :
- Une entreprise qui collecte les emails de ses clients pour leur envoyer une newsletter (elle décide la finalité : marketing).
- Un hôpital qui traite les dossiers médicaux de ses patients (il décide la finalité : soins).
- Une administration publique qui gère les déclarations fiscales des contribuables.
Le sous-traitant (article 4(8))
Le sous-traitant est la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement, selon les instructions de ce dernier. Il n'agit pas pour ses propres finalités mais pour celles du responsable.
Exemples de sous-traitants :
Exemples de sous-traitants :
- Un prestataire de services cloud qui héberge les données d'une entreprise (ex : AWS, Microsoft Azure).
- Un cabinet de paie qui traite les bulletins de salaire pour le compte d'une PME.
- Un prestataire de routage d'emails qui envoie les newsletters d'un e-commerçant.
L'obligation de contrat de sous-traitance (article 28)
Tout recours à un sous-traitant doit être encadré par un contrat ou acte juridique contraignant (article 28 RGPD), souvent appelé DPA (Data Processing Agreement). Ce contrat doit obligatoirement stipuler que le sous-traitant :
- Ne traite les données que sur instruction documentée du responsable.
- Garantit la confidentialité des données (obligations de confidentialité pour les personnes autorisées).
- Prend toutes les mesures de sécurité requises (article 32).
- Ne fait appel à un autre sous-traitant (sous-traitant ultérieur) qu'avec l'accord préalable du responsable.
- Aide le responsable à répondre aux droits des personnes concernées.
- Supprime ou restitue toutes les données au terme du contrat.
- Met à disposition toute information nécessaire pour démontrer le respect de ces obligations.
La co-responsabilité (article 26)
Lorsque deux responsables ou plus déterminent conjointement les finalités et les moyens d'un traitement, ils sont co-responsables du traitement. Cette situation est différente de la sous-traitance : ici, les deux parties décident ensemble des finalités.
Exemples de co-responsabilité :
Exemples de co-responsabilité :
- Une plateforme de réseaux sociaux et une entreprise qui utilise les données des fans de sa page (arrêt CJUE Fashion ID, 2019).
- Deux entreprises qui gèrent conjointement une base de données clients partagée.
Articles clés à connaître
- Article 4(7) RGPDDéfinition du responsable de traitement : détermine les finalités et les moyens du traitement.
- Article 4(8) RGPDDéfinition du sous-traitant : traite des données pour le compte du responsable, selon ses instructions.
- Article 26 RGPDCo-responsabilité : obligations des responsables conjoints, accord interne obligatoire, point de contact.
- Article 28 RGPDContrat de sous-traitance (DPA) : clauses obligatoires, encadrement des sous-traitants ultérieurs.
- Article 29 RGPDLe sous-traitant et les personnes agissant sous son autorité ne traitent les données que sur instruction du responsable.
💡 Exemple concret
Une PME (responsable de traitement) confie la gestion de sa paie à un cabinet comptable (sous-traitant). Obligations : (1) un DPA doit être signé entre les deux parties ; (2) le cabinet ne peut utiliser les données salariales qu'à la seule fin de produire les bulletins de paie ; (3) si le cabinet fait appel à un logiciel de paie en cloud (sous-traitant ultérieur), il doit en informer la PME et obtenir son accord. En cas de violation de données, c'est la PME (responsable) qui doit notifier la CNIL dans les 72h — même si la faille vient du cabinet.
Pièges à éviter
- ⚠Un hébergeur cloud n'est pas automatiquement sous-traitant : s'il détermine lui-même des finalités de traitement (ex : analyse des données pour ses propres besoins), il devient co-responsable ou responsable à part entière.
- ⚠Le sous-traitant peut être sanctionné directement par la CNIL depuis le RGPD — ne pas croire que seul le responsable de traitement est exposé.
- ⚠L'absence de DPA est une violation en soi, indépendamment de tout incident de sécurité.
- ⚠Ne pas confondre co-responsabilité (article 26) et sous-traitance (article 28) : dans la co-responsabilité, les deux parties décident des finalités ensemble.
L'essentiel à retenir
- ✓Responsable de traitement : détermine les finalités et les moyens — débiteur principal des obligations RGPD.
- ✓Sous-traitant : traite uniquement sur instruction documentée du responsable, pour ses finalités.
- ✓DPA obligatoire pour tout recours à un sous-traitant (article 28) — son absence est une violation directe.
- ✓Co-responsabilité (article 26) : les deux parties décident conjointement des finalités — accord interne obligatoire.
- ✓Sous-traitants ultérieurs : autorisés uniquement avec l'accord préalable du responsable.