Article 28
Sous-traitant

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 28 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 28 keyboard_arrow_up

(81) Afin que les exigences du présent règlement soient respectées dans le cadre d'un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu'à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en oeuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement. L'application par un sous-traitant d'un code de conduite approuvé ou d'un mécanisme de certification approuvé peut servir à attester du respect des obligations incombant au responsable du traitement. La réalisation d'un traitement par un sous-traitant devrait être régie par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, liant le sous-traitant au responsable du traitement, définissant l'objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée. Le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission. Après la réalisation du traitement pour le compte du responsable du traitement, le sous-traitant devrait, selon le choix du responsable du traitement, renvoyer ou supprimer les données à caractère personnel, à moins que le droit de l'Union ou le droit d'un État membre auquel le sous-traitant est soumis n’exige la conservation des données à caractère personnel.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 28.

Le GDPR

L’article 4, 8) définit le sous-traitant en reprenant la définition déjà présente dans la Directive. Le sous-traitant est : « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

L’article 28 du Règlement amplifie les devoirs antérieurs des responsables et sous-traitants tout en organisant un régime de sous-traitance distinct des devoirs de sécurité repris aux articles 32 et s.

Comme auparavant, le responsable du traitement ne peut choisir que des sous-traitants présentant des garanties suffisantes pour la prise de mesures techniques et opérationnelles appropriées afin de rencontrer les prescriptions du Règlement et d’assurer la protection des droits de la personne concernée.

Le principe reste encore celui d’une organisation contractuelle spécifique entre le responsable du traitement et le sous-traitant, voire par un autre acte juridique spécifique prévu par le doit de l’Union ou d’un État membre, liant le sous-traitant au responsable du traitement. Le contenu du contrat écrit - en ce compris un format électronique- est par contre élargi. Outre des informations sur le traitement lui-même (finalité, objet et durée du traitement, etc.), le contrat prévoit l’engagement du sous-traitant à respecter toute une série de devoirs à l’égard du responsable, notamment :

-ne traiter les données que sur instructions du responsable –ce qui était déjà prévu- mais ces instructions devront être désormais spécialement documentés –notamment les transferts de données vers des pays tiers- par le responsable. Une exception est prévue pour des devoirs légaux auxquels seraient soumis le sous-traitant qui devront faire l’objet d’une information spécifique par le sous-traitant, sauf exception légale justifiée pour des motifs importants d’intérêt public ;

Ce devoir se traduit également à l’article 32 qui impose de prendre les mesures pour que toute personne qui a accès aux données sous l’autorité du responsable ou du sous-traitant ne puisse traiter celles-ci que sur les seules instructions de ceux-ci, sauf si elle en est requise par la loi d’un État membre ou une règle de l’UE et à condition qu’il en informe le responsable à moins qu’une telle information soit interdite pour des motifs importants d’intérêt public.

- garantir que les personnes autorisées à traiter les données sont soumises à un devoir de confidentialité. ;

-respecter les conditions de recrutement d’un autre sous-traitant secondaire définies aux paragraphes 2 et 4 (cfr infra) ;

-aider le responsable à donner suite à l’exercice des droits des personnes concernées ;

-aider le responsable à garantir le respect de ses propres obligations de sécurité prévues aux articles 32 à 36 du Règlement

-selon le choix du responsable, effacer ou restituer les données au responsable du traitement après l’exécution du service, etc.

- mettre à la disposition du responsable toutes les informations nécessaires pour démontrer le respect de l’article 28 et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

L’article 28 oblige également le sous-traitant à signaler immédiatement au responsable s’il estime qu’une de ses instructions constitue une violation du Règlement ou d’une autre disposition du droit de l’Union ou celui des Etats membres relatives à la protection des données.

Outre les devoirs issus de la Directive, le Règlement organise la question de la sous-traitance confiée à des tiers -sous-traitants secondaires- par le sous-traitant direct du responsable du traitement, cas de figure très fréquent en pratique. Ainsi, la possibilité laissée au sous-traitant de sous-traiter lui-même devra faire l’objet d’un accord écrit préalable (spécifique ou général) du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant direct doit informer le responsable du traitement, préalablement à tout changement de sous-traitant « secondaire » en vue de donner au responsable la possibilité d’émettre des objections.

En outre, ce contrat de sous-traitance secondaire devra obéir lui-même aux règles de contenu applicables au contrat conclu entre le responsable et le sous-traitant principal (art. 28, 4). Le sous-traitant direct est responsable devant le responsable du traitement de la mauvaise exécution des obligations contractuelles de ses propres sous-traitants.

L’adhésion du sous-traitant à un code de conduite visé à l’article 40 ou à un mécanisme de certification approuvé visé à l’article 42 peut être utilisée pour démontrer l’existence de garanties suffisantes par le sous-traitant.

Le Règlement prévoit expressément la possibilité d’utiliser des clauses contractuelles types fournies par diverses sources comme fondement du contrat particulier entre le responsable et le sous-traitant (incluses dans une procédure de certification, de la Commission ou d’autorités de contrôle). La Commission est d’ailleurs investie du pouvoir d’établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4, conformément au mécanisme de cohérence prévu à l’article 63.

Enfin, la dernière version du Règlement indique spécifiquement que le sous-traitant qui aurait violé ses devoirs spécifiques en déterminant les finalités et moyens du traitement sera considéré comme responsable du traitement pour ce nouveau traitement.

La Directive

L’article 17 de la Directive organisait le régime de la sous-traitance comme faisant partie des devoirs de sécurité. La Directive prévoyait que responsable du traitement qui passe par un sous-traitant devait veiller à ce que ce dernier apporte des garanties suffisantes quant à la mise en œuvre et au respect des mesures de sécurité à effectuer.

Un contrat ou acte juridique obligatoire devait le lier au sous-traitant, celui-ci mentionnant notamment que ce dernier n’agit que sur instruction du responsable du traitement, ainsi que les mesures de sécurité qu’il devait prendre.

France

En droit français, le responsable du traitement doit dès lors choisir un sous-traitant apportant des garanties suffisantes afin de faire face aux mesures de sécurité nécessaires au traitement. Il doit prévoir des clauses contractuelles spécifiques avec ses sous-traitants, celles-ci devant impérativement contenir certaines mentions comme le fait que le sous-traitant ne pouvait agir que sur ses instructions et un rappel des devoirs de sécurité s’imposant au sous-traitant

Difficultés probables ?

La précision et l’élargissement des mentions contractuelles, étendues aux liens de sous-traitance secondaire, imposent aux responsables de revoir toutes leurs relations à leurs sous-traitants et donc de modifier profondément les contrats antérieurs. Souvent, en pratique, des mentions assez générales étaient contenues au mieux dans une seule clause de style insérée dans le contrat de prestation de service.

Le sous-traitant –souvent un prestataire technique- devra impérativement accorder plus d’importance à la protection des données et à ses obligations qui dépassent la simple prise de mesures de sécurité, mais lui impose une gestion contractuelle bien plus professionnelle.

Sommaire

Union Européenne

France

Union Européenne

Comité européen de la protection des données (CEPD)

Avis sur le projet de clauses contractuelles types présenté par l’autorité de contrôle du Danemark (article 28.8 RGPD) - 14/2019 (9 juillet 2019)

L’autorité de contrôle compétente du Danemark a soumis son projet de clauses contractuelles types (ci-après les «CCT») au Comité par le système IMI et a sollicité l’avis du Comité conformément à l’article 64, paragraphe 1, point d), afin d’assurer une approche cohérente au sein de l’Union. La décision relative au caractère complet du dossier a été prise le 4 avril 2019. Le secrétariat du Comité a distribué le dossier à tous ses membres au nom de la Présidente le 4 avril.

 Le Comité a reçu le projet de CCT de l’autorité de contrôle danoise 2 , accompagné d’une lettre expliquant leur structure. Ces deux documents ont été transmis en anglais par l’autorité de contrôle danoise. Par la présente, le Comité rend son avis sur la version anglaise du document, bien qu’il prenne acte du fait que les CCT sont également disponibles en danois sur le site web de l’autorité de contrôle danoise. Celle-ci tiendra le plus grand compte de l’avis du Comité.

Conformément à l’article 10, paragraphe 2, du règlement intérieur du Comité , compte tenu de la complexité du dossier, la Présidente a décidé de prolonger de six semaines le délai initial d’adoption de huit semaines (jusqu’au 9 juillet 2019).

Lien

Lignes directrices concernant les notions de responsable du traitement et de sous-traitant dans le RGPD - 7/2020 (7 juillet 2021)

Les notions de responsable du traitement, de responsable conjoint du traitement et de sous-traitant ont un rôle capital à jouer dans l’application du règlement général sur la protection des données 2016/679 (RGPD), étant donné qu’elles déterminent qui est responsable du respect des différentes règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique. Le sens précis de ces notions et les critères relatifs à leur interprétation correcte doivent être suffisamment clairs et cohérents dans l’ensemble de l’Espace économique européen (EEE).

Les notions de responsable du traitement, de responsable conjoint du traitement et de sous-traitant sont des notions fonctionnelles en ce qu’elles visent à répartir les responsabilités en fonction des rôles réels joués par les parties et des notions autonomes en ce qu’elles doivent être interprétées principalement selon la législation de l’UE en matière de protection des données.

Responsable du traitement

En principe, il n’existe aucune limite au type d’entité susceptible d’assumer le rôle de responsable du traitement, mais, dans la pratique, il s’agit généralement de l’organisation en tant que telle et pas d’une personne au sein de celle-ci (comme le directeur général, un employé ou un membre du conseil d’administration) qui fait office de responsable du traitement.

Un responsable du traitement est un organisme qui décide de certains éléments essentiels du traitement. La responsabilité du traitement peut être définie par la loi ou découler d’une analyse des éléments ou circonstances factuels de l’espèce. Certaines activités de traitement peuvent être considérées comme étant naturellement liées au rôle d’une entité (un employeur vis-à-vis de son personnel, un éditeur envers ses abonnés ou une association à l’égard de ses membres). Très souvent, les clauses contractuelles peuvent aider à identifier le responsable du traitement, bien qu’elles ne soient pas toujours déterminantes.

Un responsable du traitement détermine les finalités et les moyens du traitement, à savoir le pourquoi et le comment de ce dernier. Le responsable du traitement doit décider à la fois des finalités et des moyens. Toutefois, certains aspects plus pratiques de la mise en œuvre (les «moyens non essentiels») peuvent être laissés à la discrétion du sous-traitant. Il n’est pas nécessaire que le responsable du traitement ait réellement accès aux données faisant l’objet du traitement pour être considéré comme un responsable du traitement.

Responsables conjoints du traitement

Il peut y avoir des responsables conjoints du traitement lorsque plus d’un acteur intervient dans le traitement. Le RGPD introduit des règles spécifiques pour les responsables conjoints du traitement et établit un cadre qui régit leur relation. Le critère essentiel pour qu’il y ait responsabilité conjointe du traitement est la participation conjointe de deux entités ou plus dans la détermination des finalités et des moyens d’une opération de traitement. Une participation conjointe peut prendre la forme d’une décision commune prise par deux entités ou plus ou découler de décisions convergentes adoptées par deux entités ou plus, lorsque les décisions se complètent et sont nécessaires à la réalisation du traitement de telle sorte qu’elles ont un effet concret sur la détermination des finalités et des moyens du traitement. Un critère important est que le traitement ne serait pas possible sans la participation des deux parties en ce sens que le traitement par chacune des parties est indissociable de celui de l’autre, c’est-à-dire inextricablement lié. La participation conjointe doit englober, d’une part, la détermination des finalités et, de l’autre, la détermination des moyens.

Sous-traitant

Un sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Il existe deux conditions de base pour être considéré comme un sous-traitant: il doit s’agir d’une entité distincte du responsable du traitement et il doit traiter les données à caractère personnel pour le compte du responsable du traitement.

Le sous-traitant ne doit traiter les données que selon les instructions du responsable du traitement. Ces instructions peuvent néanmoins lui laisser une certaine marge d’appréciation quant à la manière de servir au mieux lesintérêts du responsable du traitement, en permettant au sous-traitant de choisir les moyens techniques et organisationnels les plus appropriés. Toutefois, un sous-traitant viole le RGPD s’il va au-delà des instructions du responsable du traitement et commence à déterminer ses propres finalités et ses propres moyens de traitement. Il sera alors considéré comme un responsable du traitement pour ce traitement et pourra faire l’objet de sanctions pour avoir outrepassé les instructions du responsable du traitement.

Relation entre le responsable du traitement et le sous-traitant

Un responsable du traitement ne doit recourir qu’à des sous-traitants qui offrent des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du RGPD. Les éléments à prendre en considération pourraient être les connaissances spécialisées du sous-traitant (par exemple, l’expertise technique en ce qui concerne les mesures de sécurité et les violations de données), la fiabilité du sous-traitant, les ressources du sous-traitant et son respect d’un code de conduite ou d’un mécanisme de certification approuvés.

Tout traitement de données à caractère personnel effectué par un sous-traitant doit être régi par un contrat ou un autre acte juridique établi par écrit, y compris sous forme électronique, et contraignant. Le responsable du traitement et le sous-traitant peuvent choisir de négocier leur propre contrat, y compris tous les éléments obligatoires, ou de se fonder en tout ou en partie sur des clauses contractuelles types.

Le RGPD énumère les éléments qui doivent figurer dans l’accord de traitement. L’accord de traitement ne devrait toutefois pas simplement reproduire les dispositions du RGPD; il devrait inclure des informations plus spécifiques et concrètes sur la manière dont les conditions seront remplies et sur le niveau de sécurité requis pour le traitement de données à caractère personnel qui fait l’objet dudit accord.

Relation entre les responsables conjoints du traitement

Les responsables conjoints du traitement définissent de manière transparente, par accord entre eux, leurs obligations respectives aux fins d’assurer le respect des obligations que leur impose le RGPD. La détermination de leurs responsabilités respectives doit notamment porter sur l’exercice des droits des personnes concernées et l’obligation d’information. En outre, la répartition des responsabilités devrait couvrir d’autres obligations incombant au responsable du traitement, notamment en ce qui concerne les principes généraux de la protection des données, la base juridique, les mesures de sécurité, l’obligation de notification des violations de données, les analyses d’impact relatives à la protection des données, le recours à des sous-traitants, les transferts vers des pays tiers et les contacts avec les personnes concernées et les autorités de contrôle.

Chaque responsable conjoint du traitement a le devoir de s’assurer qu’il dispose d’une base juridique pour le traitement et que les données ne sont pas traitées ultérieurement d’une manière incompatible avec les finalités pour lesquelles elles ont été initialement collectées par le responsable du traitement qui partage les données.

Le RGPD ne précise pas la forme juridique de l’accord conclu entre les responsables conjoints du traitement. Par souci de sécurité juridique et afin de garantir la transparence et la responsabilité, le comité européen de la protection des données recommande que cet accord prenne la forme d’un document contraignant, tel qu’un contrat ou un autre acte juridique contraignant en vertu du droit de l’UE ou de l’État membre auquel les responsables du traitement sont soumis. L’accord reflète dûment les rôles et rapports respectifs des responsables conjoints du traitement à l’égard des personnes concernées et le contenu de l’accord est mis à la disposition de la personne concernée.

Indépendamment des termes de l’accord, les personnes concernées peuvent exercer leurs droits à l’égard et à l’encontre de chacun des responsables conjoints du traitement. Les autorités de contrôle ne sont pas liées par les termes de l’accord que ce soit en ce qui concerne la question de la qualité de responsables conjoints du traitement des parties ou du point de contact désigné.

Lien

Retour au sommaire

France

CNIL

Guide du sous-traitant (Septembre 2017)

Le règlement impose des obligations spécifiques aux sous-traitants dont la responsabilité est susceptible d’être engagée en cas de manquement. Ce guide a pour objectif de vous accompagner, en tant que sous-traitant, dans la mise en œuvre de ces nouvelles obligations. Il pourra être enrichi de toutes les bonnes pratiques remontées par les professionnels.

Lien

Retour au sommaire

Sommaire

Belgique

France

Belgique

Jurisprudence belge

CE Be., (12 mai 2021) - de BV QARIN, de BV ROTTERDAMSE MOBILITEIT CENTRALE (RMC) / het VLAAMSE GEWEST

L’article 28.1 du RGPD dispose que lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. Le soumissionnaire retenu se trouve être une filiale à part entière de V., établie aux États-Unis, qui apparaît vouloir utiliser Amazon Web Services (AWS) pour l’exécution du marché et fait aussi appel prima facie à divers sous-sous-traitants dont le lieu de traitement est situé en dehors de l’UE (États-Unis et Israël). À la lumière de l’arrêt C-311/18 de la Cour de Justice, il semble également avoir procédé à l’énumération de garanties complémentaires reprises dans les annexes de l’offre. La partie adverse semble dès lors, à première vue, à la lumière des exigences du cahier spécial des charges et de l’arrêt susmentionné, auxquels le cahier spécial des charges fait référence et raison pour laquelle une annexe VI.6 ‘Transfert aux États-Unis’ est demandée, avoir dû examiner plus avant si le soumissionnaire retenu peut garantir le niveau de protection requis par le droit de l’Union, puisque celui-ci recourt à des cloud providers/fournisseurs de cloud établis en dehors de l’UE. La partie adverse ne semble dès lors pas prima facie s’être acquittée de son devoir d’investigation de manière prudente. Lors de cette investigation, elle est entre autres passée outre une exigence substantielle du cahier spécial des charges, ce qui a abouti à une motivation inadéquate de la décision d'attribution attaquée.

Arrêt rendu (en néerlandais)

Retour au sommaire

France

Jurisprudence française

CE Fr., n°354629 (12 mars 2014)

1. La Société Foncia Groupe a mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL),a fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle-même, pour effet de rendre celles-ci responsables des traitements.

2. En vertu des dispositions de l'article 44 de la loi n° 78-17 du 6 janvier 1978 et de l'article 61 du décret n° 2005-1309 du 20 octobre 2005, lorsque des membres ou agents de la Commission nationale de l'informatique et des libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en œuvre d'un traitement de données à caractère personnel, le procureur territorialement compétent doit en être informé, au plus tard vingt-quatre heures avant le contrôle.

3. En l'espèce, si l'information a été communiquée au procureur territorialement compétent à 15 heures pour un contrôle qui a débuté le lendemain à 9 heures 15, soit dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit, cette circonstance, dont il n'est pas établi ni même soutenu qu'en raison de la brièveté de ces délais, elle aurait fait obstacle à l'exercice par le procureur de ses pouvoirs, et par suite privé la société requérante d'une des garanties légales dont elle pouvait se prévaloir, n'est pas de nature à affecter la légalité de la décision de sanction prononcée par la CNIL.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 28

1. Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

2. Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous- traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.

3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous- traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public;

b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c) prend toutes les mesures requises en vertu de l'article 32;

d) respecte les conditions visées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;

e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

g)selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation des données à caractère personnel; et

h) met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect des obligations prévues au présent article et pou permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

En ce qui concerne le point h) du premier alinéa, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

4. Lorsqu'un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d'un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement.

Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations.

5. L'application, par un sous-traitant, d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément attestant de l'existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.

6. Sans préjudice d'un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu'elles font partie d'une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43.

7. La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d'examen visée à l'article 93, paragraphe2.

8. Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément au mécanisme de contrôle de la cohérence visé à l'article 63.

9. Le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 se présente sous une forme écrite, y compris en format électronique.

10. Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

Proposition 1 close

1. Lorsque le traitement est effectué pour son compte, le responsable du traitement choisit un sous-traitant qui présente des garanties suffisantes de mise en œuvre des mesures et procédures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée, en ce qui concerne notamment les mesures de sécurité technique et d'organisation régissant le traitement à effectuer, et veille au respect de ces mesures.

 2. La réalisation de traitements en sous-traitance est régie par un contrat ou un autre acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant:

a) n'agit que sur instruction du responsable du traitement, en particulier lorsque le transfert des données à caractère personnel utilisées est interdit;

b) n'emploie que du personnel qui a pris des engagements de confidentialité ou qui est soumis à une obligation légale de confidentialité;

c) prend toutes les mesures nécessaires en vertu de l’article 30;

d) n'engage un autre sous-traitant que moyennant l'autorisation préalable du responsable du traitement;

e) dans la mesure du possible compte tenu de la nature du traitement, crée, en accord avec le responsable du traitement, les conditions techniques et organisationnelles nécessaires pour permettre au responsable du traitement de s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 30 à 34;

g) transmet tous les résultats au responsable du traitement après la fin du traitement et s'abstient de traiter les données à caractère personnel de toute autre manière;

h) met à la disposition du responsable du traitement et de l'autorité de contrôle toutes les informations nécessaires au contrôle du respect des obligations prévues par le présent article.

3. Le responsable du traitement et le sous-traitant conservent une trace documentaire des instructions données par le responsable du traitement et des obligations du sous-traitant énoncées au paragraphe 2.

4. S'il traite des données à caractère personnel d'une manière autre que celle définie dans les instructions du responsable du traitement, le sous-traitant est considéré comme responsable du traitement à l’égard de ce traitement et il est soumis aux dispositions applicables aux responsables conjoints du traitement prévues à l'article 24.

5. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux responsabilités, obligations et missions d'un sous-traitant en conformité avec le paragraphe 1, ainsi que les conditions qui permettent de faciliter le traitement des données à caractère personnel au sein d’un groupe d’entreprises, en particulier aux fins de contrôle et de présentation de rapports.

Proposition 2 close

 1. (…). Le responsable du traitement fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes de mise en œuvre des mesures techniques et organisationnelles appropriées (…), de manière à ce que le traitement soit conforme aux prescriptions du présent règlement (…).

 1 bis. Le sous-traitant ne recrute pas un autre sous-traitant sans l'accord écrit préalable, spécifique ou général, du responsable du traitement. Dans ce cas, le sous-traitant devrait toujours informer le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.

1 ter. (…)

. 2. La réalisation d'un traitement par un sous-traitant est régie par un contrat ou un acte juridique au titre du droit de l'Union ou du droit national liant le sous-traitant au responsable du traitement, définissant l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les droits du responsable du traitement (...) et prévoyant notamment que le sous-traitant:

a) ne traite les données à caractère personnel que sur instruction du responsable du traitement (…), à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou de la législation de l'État membre à laquelle le responsable du traitement est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement des données, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public;

b) (…)

c) prend toutes les mesures (…) requises en vertu de l'article 30;

d) respecte les conditions de recrutement d'un autre sous-traitant (…), telles que l'obligation d'une autorisation préalable spécifique du responsable du traitement;

e) (…), compte tenu de la nature du traitement, aide le responsable du traitement à donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III;

f) (...) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 30 à 34;

g) renvoie ou supprime les données à caractère personnel, selon le choix du responsable du traitement, au terme des services de traitement des données précisés dans le contrat ou dans un autre acte juridique, à moins que le droit de l'Union ou celui de l'État membre auquel le sous-traitant est soumis exige la conservation des données;

h) met à la disposition du responsable du traitement (…) toutes les informations nécessaires pour apporter la preuve du respect des obligations prévues par le présent article, permettre la réalisation d'audits par le responsable du traitement et contribuer à ces audits. Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou des dispositions de l'Union ou des États membres relatives à la protection des données.

2 bis. Lorsqu'un sous-traitant recrute (...) un autre sous-traitant pour exécuter des opérations de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations que celles fixées dans le contrat ou l'autre acte juridique liant le sous-traitant au responsable du traitement, visé au paragraphe 2, s'imposent à cet autre sous-traitant par contrat ou au moyen d'un autre acte juridique au titre du droit de l'Union ou du droit national, en particulier pour ce qui est de présenter des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées, de manière à ce que le traitement soit conforme aux prescriptions du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations.

2 bis bis L'adhésion du sous-traitant à un code de conduite approuvé visé à l'article 38 ou un mécanisme de certification approuvé visé à l'article 39 peuvent être utilisés comme moyen de démontrer l'existence des garanties suffisantes visées aux paragraphes 1 et 2 bis.

 2 bis ter. Sans préjudice d'un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 2 et 2 bis peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 2 ter et 2 quater ou sur des clauses contractuelles types qui font partie d'une certification délivrée au responsable du traitement ou au sous-traitant conformément aux articles 39 et 39 bis.

2 ter. La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 2 et 2 bis, conformément à la procédure d'examen visée à l'article 87, paragraphe 2.

2 quater. Une autorité de contrôle peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 2 et 2 bis, conformément au mécanisme de contrôle de la cohérence visé à l'article 57.

3. Le contrat ou autre acte juridique visé aux paragraphes 2 et 2 bis est écrit, y compris en format électronique.

4. (…)

5. (…)

Directive close

Art. 17

(…)

2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et qu'il doit veiller au respect de ces mesures.

3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que:

- le sous-traitant n'agit que sur la seule instruction du responsable du traitement,

- les obligations visées au paragraphe 1, telles que définies par la législation de l'État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

4. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 60

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

La qualité de sous-traitant n'exonère en rien du respect des dispositions applicables du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi.

Le traitement réalisé par un sous-traitant est régi par un contrat ou tout acte juridique qui lie le sous-traitant à l'égard du responsable du traitement, sous une forme écrite, y compris en format électronique, respectant les conditions prévues à l'article 28 du règlement.

Le sous-traitant et, le cas échéant, son représentant doivent tenir le registre mentionné à l'article 30 de ce même règlement.

Lorsqu'un sous-traitant a recours à un autre sous-traitant pour mener les activités de traitement spécifiques pour le compte du responsable du traitement, il conclut avec ce sous-traitant le contrat mentionné au deuxième alinéa. Le troisième alinéa s'applique également.

Ancienne loi close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 35

Version initiale

Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.

Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Art. 35

Modifié par la loi n°2018-493 du 20 juin 2018

I. - Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.

Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi.

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Le présent I est applicable aux traitements ne relevant ni du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ni du chapitre XIII de la présente loi.

II. - Dans le champ d'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, le sous-traitant respecte les conditions prévues par ce règlement.

close