Depuis l'entrée en vigueur du RGPD, toutes les entreprises ont dû repenser leur gestion des données personnelles et sécuriser leurs pratiques de collecte.
L'un des enjeux majeurs concerne la traçabilité des flux de données dans les relations de sous-traitance. Comment garantir la conformité lorsque des données personnelles transitent entre responsables de traitement et sous-traitants ?
Si vous êtes responsable de traitement, vous devez vous assurer que vos sous-traitants respectent le RGPD. Si vous êtes sous-traitant, vous devez adapter vos contrats et prouver votre conformité.
Trois questions essentielles se posent :
- Comment garantir que vos clients ont validé vos nouvelles conditions ?
- Comment gérer l'envoi et le suivi des avenants contractuels ?
- Comment conserver une preuve opposable de leur consentement ?
Résumé en bref :
- Définition du sous-traitant : Personne physique ou morale qui traite des données à caractère personnel pour le compte d'un responsable de traitement, sur instruction et sous son autorité (Article 4 du RGPD).
- Quatre obligations principales : Transparence et traçabilité (contrat obligatoire), protection des données dès la conception, sécurité des traitements, et assistance au responsable de traitement.
- Sous-traitance en cascade : Recruter un autre sous-traitant nécessite l'autorisation écrite préalable du responsable de traitement. Le premier sous-traitant reste responsable des actions du sous-traitant ultérieur.
- Contractualisation obligatoire : Un contrat écrit ou acte juridique doit préciser l'objet, la durée, les mesures de sécurité, les obligations de chaque partie et le sort des données en fin de mission (Article 28 RGPD).
- Sanctions applicables : Les sous-traitants peuvent être directement sanctionnés par la CNIL avec des amendes pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial selon la gravité de l'infraction.
Qu'est-ce qu'un sous-traitant au sens du RGPD ?
Au sens de la CNIL et dans le cadre de l'application du RGPD, vous êtes considéré comme un sous-traitant si "vous traitez des données personnelles pour le compte, sur instruction et sous l'autorité d'un responsable de traitement".
Dès que vous gérez, conservez ou traitez des données personnelles pour le compte de vos clients, vous êtes un sous-traitant. Cela concerne notamment :
- Les prestataires de services informatiques et numériques (comme Yousign)
- Les agences de communication et marketing
- Les sociétés de services RH
- Certaines associations ou organismes publics
Pour rappel, le sous-traitant et le responsable de traitement sont deux entités juridiques distinctes dans le cadre d'un flux de données spécifique.
Responsable de traitement vs sous-traitant : les définitions
Le responsable du traitement est "la personne physique ou morale, une autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel".
Le sous-traitant est la personne physique ou morale qui traite ces données à la demande et pour le compte du responsable du traitement, selon ses instructions.
Exemple concret : double casquette responsable et sous-traitant
Cas pratique n°1 : Campagne marketing
Vous disposez d'une base de prospects que vous souhaitez contacter via des campagnes marketing ciblées. Vous faites appel à un prestataire de webmarketing.
- La société de webmarketing traite les données que vous lui transmettez : elle est sous-traitant.
- Vous déterminez les finalités du traitement : vous êtes responsable de traitement.
Cas pratique n°2 : Externalisation RH
Cette même société de webmarketing externalise sa paie auprès d'un cabinet RH.
- Pour les données de son personnel, la société de webmarketing est responsable de traitement.
- Le cabinet RH qui gère la paie est sous-traitant.
Il est donc hautement probable que vous cumuliez les deux rôles : sous-traitant pour vos clients et responsable de traitement pour vos propres données (RH, comptabilité, marketing).
Le meilleur moyen de visualiser clairement ces flux est de cartographier vos traitements de données en identifiant, pour chacun d'eux, votre rôle et celui de vos partenaires.
Bon à savoir
La distinction entre responsable de traitement et sous-traitant n'est pas toujours évidente. Une même entreprise peut cumuler les deux rôles selon les traitements de données concernés. L'essentiel est de cartographier précisément vos flux de données pour identifier votre statut dans chaque situation et appliquer les obligations correspondantes. En cas de doute, considérez que vous êtes responsable de traitement si vous décidez des finalités du traitement.
Les obligations du sous-traitant dans le RGPD
Le RGPD a étendu les responsabilités du sous-traitant vis à vis des données personnelles qu'il traite pour le compte du responsable de traitement. Si ce dernier est toujours en première ligne en ce qui concerne le contrôle des flux de données et leur traitement, le sous-traitant n'est pas en reste. Selon la CNIL, ses obligations peuvent s'organiser en quatre grands domaines.
Obligation de transparence et de traçabilité
La relation que vous entretenez avec votre client se doit d'être parfaitement transparente. Il est très fortement conseillé de contractualiser les obligations de chacune des parties ainsi que le spectre général de votre mission. L'intérêt est d'avoir un contrat écrit ou un acte juridique répertoriant les actions que vous pouvez mener sur les données transmises par votre client ou gérées pour son compte.
Ce contrat doit obligatoirement préciser, conformément à l'Article 28 du RGPD :
- L'objet et la durée du traitement
- La nature et les finalités du traitement
- Le type de données à caractère personnel et les catégories de personnes concernées
- Les obligations et les droits du responsable du traitement
- Les mesures techniques et organisationnelles appropriées pour garantir la sécurité
- Les conditions de recours à un sous-traitant ultérieur
Vous devez par ailleurs vous assurer d'avoir l'accord explicite de votre client si vous faites également appel de votre côté à un sous-traitant qui aura accès à tout ou partie des données que vous traitez et dont le client a la responsabilité.
Chaque changement de sous-traitant et donc de modification du flux des données devra faire l'objet d'une notice d'information voire, selon les termes du contrat qui vous unit à votre client, d'un nouvel accord.
"Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements."
Le RGPD impose au sous-traitant de tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement (Article 30). Ce registre doit documenter les catégories de traitements réalisés, les catégories de données traitées, les finalités, les destinataires, les mesures de sécurité mises en place et les éventuels transferts hors UE. Ce registre doit être tenu à jour et mis à disposition de la CNIL sur demande.
Attention
Tout changement de sous-traitant ultérieur doit faire l'objet d'une notification préalable au responsable de traitement. L'absence d'information ou le recrutement d'un sous-traitant sans autorisation constitue une violation du RGPD qui peut engager directement votre responsabilité en cas de violation de données personnelles. Le responsable de traitement dispose d'un délai raisonnable pour émettre des objections motivées à l'encontre de ces changements.
Prise en compte des principes de protection des données
L'ensemble de vos outils et services doivent, dès leur conception, être en conformité avec le règlement général sur la protection des données. C'est ce qu'on appelle la protection des données dès la conception (privacy by design) et par défaut (privacy by default).
Vous devez par ailleurs garantir que seules les données nécessaires à la mission qui vous incombe sont conservées et traitées et ce uniquement par les personnes habilitées à le faire.
Concrètement, cela implique de mettre en œuvre des mesures techniques et organisationnelles appropriées pour :
- Minimiser la collecte de données à caractère personnel (ne collecter que ce qui est strictement nécessaire)
- Pseudonymiser ou anonymiser les données lorsque c'est pertinent et possible
- Limiter l'accès aux données aux seuls collaborateurs autorisés et formés
- Documenter les traitements dans un registre des activités de traitement
- Limiter la durée de conservation des données au strict nécessaire
Ces garanties suffisantes doivent être démontrables et peuvent s'appuyer sur des certifications (ISO 27001, certifications CNIL), l'adhésion à un code de conduite approuvé, ou l'utilisation de clauses contractuelles types validées par la Commission européenne.
Obligation de garantir la sécurité des données traitées
Vous devez être en mesure d'assurer à votre client que les données qu'il vous confie sont mises en sécurité. L'ensemble de votre personnel qui traite ces données devra donc être soumis à une obligation de confidentialité vis à vis des informations.
Les mesures de sécurité à mettre en œuvre doivent être adaptées au niveau de risque et peuvent inclure :
- Le chiffrement des données à caractère personnel en transit et au repos
- Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes de traitement
- Des moyens permettant de rétablir la disponibilité des données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique
- Une procédure visant à tester, analyser et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement
Vous devrez également au terme de votre prestation et selon les demandes de vos clients supprimer et/ou transférer ces données à votre client, sauf si vous devez, en vertu d'une obligation légale, les conserver. C'est par exemple le cas avec les processus de facturation, ou encore, comme le fait Yousign, avec les dossiers de preuves liés à chacune des signatures traitées dans son application.
Important
En cas de violation de données personnelles (fuite, accès non autorisé, destruction accidentelle), le sous-traitant doit notifier le responsable de traitement dans les meilleurs délais. C'est ensuite au responsable de traitement de notifier la CNIL dans les 72 heures et, le cas échéant, les personnes concernées si la violation présente un risque élevé pour leurs droits et libertés. Le sous-traitant qui ne notifie pas une violation engage sa responsabilité et s'expose à des sanctions.
Obligation d'assistance, d'alerte et de conseil
Etant en charge du traitement des données pour le compte du responsable de traitement, il est convenu que vous devez pouvoir accompagner votre client et le conseiller dans le bon usage des informations traitées. Il vous incombe par ailleurs de l'alerter lorsqu'un risque se présente pour les données ou leur traitement.
Vous êtes ainsi dans l'obligation d'avertir votre client lorsque l'une des demandes qu'il formule dans le cadre de votre mission viole l'une des règles du RGPD.
Le RGPD impose également au sous-traitant de faire tout son possible afin que le responsable du traitement puisse répondre aux requêtes des personnes qui souhaitent exercer leurs droits en matière de protection des données personnelles (accès, portabilité, oubli…) et de les alerter en cas de faille de sécurité.
Concrètement, vous devez :
- Assister le responsable dans la réponse aux demandes d'exercice des droits (droit d'accès, de rectification, d'effacement, de portabilité, d'opposition)
- Alerter immédiatement le responsable de traitement en cas de violation de données
- Assister le responsable dans la réalisation d'analyses d'impact relatives à la protection des données (AIPD) lorsque le traitement est susceptible d'engendrer un risque élevé
- Coopérer avec l'autorité de contrôle sur demande et faciliter les audits et inspections
Bon à savoir
Le sous-traitant doit assister le responsable de traitement dans la réalisation d'analyses d'impact relatives à la protection des données (AIPD) lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Cette assistance peut prendre la forme de documentation technique, d'évaluation des mesures de sécurité ou de conseils sur les garanties appropriées à mettre en œuvre.
Tableau récapitulatif des obligations du sous-traitant RGPD
Obligation | Mesures concrètes à mettre en œuvre | Sanctions en cas de non-respect |
|---|---|---|
Transparence et traçabilité |
| Jusqu'à 10M€ ou 2% du CA annuel mondial |
Protection dès la conception |
| Jusqu'à 20M€ ou 4% du CA annuel mondial |
Sécurité des données |
| Jusqu'à 20M€ ou 4% du CA annuel mondial |
Assistance et conseil |
| Jusqu'à 10M€ ou 2% du CA annuel mondial |
Bon à savoir
Le RGPD s'applique à tous les États membres de l'Union européenne. Concernant le Royaume-Uni, la continuité réglementaire post-Brexit a été assurée par la transposition du GDPR dans le droit britannique (UK GDPR), garantissant un niveau de protection équivalent pour les transferts de données.
Comment mettre en place une procédure fiable et sécurisée de mise en conformité RGPD ?
Cette nouvelle réglementation induit de nouvelles responsabilités tant pour les responsables de traitement que pour les sous-traitants, ainsi que la mise en place de nouveaux process de récolte, traitement et protection des données à caractère personnel.
Vous avez donc dû recevoir ces derniers mois, en tant que professionnel ou particulier, une myriade de mails et notifications vous invitant à consulter et valider les nouvelles conditions générales de protection des données à caractère personnel de vos applications, sous-traitants, réseaux sociaux, e-commerce…
Toutes les entreprises gérant des données ont dû se plier à l'exercice.
En tant que sous-traitant et afin d'être en totale conformité avec le RGPD, vous devez vous assurer que l'ensemble de vos clients ont reçu, consulté et validé ces nouvelles règles en toute connaissance de cause. Cela implique forcément des changements plus ou moins importants dans les termes du contrat que vous aviez engagé avec votre client. Il est donc nécessaire, afin de suivre scrupuleusement les règles, de passer par la signature d'un avenant à votre contrat initial, de nouvelles CGV, voire d'un nouveau contrat.
La signature électronique au service de votre conformité RGPD
Une fois ce document rédigé, vous devrez le faire parvenir à l'ensemble de vos clients, assurer le suivi de chacune des procédures et vous assurer que celui-ci a bien été signé par un décisionnaire ou quelqu'un ayant une délégation de signature.
La signature électronique peut vous permettre de faciliter grandement la mise en place de cette procédure. Une application comme Yousign vous permettra de mieux gérer l'envoi massif d'avenants à vos clients, d'assurer le suivi des procédures de signature et d'identifier rapidement celles qui posent problème en échangeant directement sur le document avec vos clients.
Enfin, la création et la conservation durant 10 ans d'un dossier de preuve, inhérentes à toute procédure, représenteront une preuve de consentement irréfutable de l'accord donné par vos clients sur ces nouvelles conditions générales.
Gérez vos contrats RGPD avec Yousign en toute conformité
De nombreuses entreprises se contentent aujourd'hui d'une simple case à cocher pour valider leurs nouvelles conditions RGPD. Mais cette pratique suffit-elle à prouver le consentement éclairé de vos clients ?
Dans un contexte où les autorités de contrôle renforcent leurs vérifications, disposer d'une preuve opposable devient indispensable. La signature électronique répond parfaitement à cette exigence : elle génère un dossier de preuve complet avec identification des signataires, horodatage et traçabilité de toutes les actions.
Conclusion
Le RGPD a profondément transformé les relations entre responsables de traitement et sous-traitants, en imposant à ces derniers des obligations directes et des responsabilités accrues. La transparence, la sécurité des données, la traçabilité et l'assistance au responsable de traitement sont désormais au cœur de toute relation contractuelle impliquant des données à caractère personnel.
Pour les sous-traitants, la mise en conformité passe par la mise en place de garanties suffisantes, de mesures techniques et organisationnelles appropriées, et d'une documentation rigoureuse de tous les traitements. La contractualisation par signature électronique offre une solution efficace pour formaliser ces engagements, assurer le suivi des consentements et constituer une preuve opposable en cas de contrôle de l'autorité de contrôle.
En adoptant les bons outils et les bonnes pratiques, vous transformez la contrainte RGPD en opportunité de différenciation et de confiance auprès de vos clients.
Simplifiez votre conformité RGPD
Tester gratuitement Yousign pendant 14 jours
Questions fréquentes sur le RGPD et la sous-traitance
Quelle est la différence entre responsable de traitement et sous-traitant RGPD ?
Le responsable de traitement est la personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel. Il décide pourquoi et comment les données sont traitées. Le sous-traitant, quant à lui, agit sur instruction du responsable de traitement et traite les données pour son compte, sans autonomie sur les finalités. Une même entreprise peut avoir les deux rôles selon les situations : elle peut être responsable pour ses propres traitements (gestion RH, clients) et sous-traitant pour des prestations réalisées pour d'autres entreprises.
Un sous-traitant peut-il faire appel à un autre sous-traitant ?
Oui, mais uniquement avec l'autorisation écrite préalable du responsable de traitement, conformément à l'article 28-2 du RGPD. Cette autorisation peut être spécifique (pour chaque nouveau sous-traitant) ou générale (avec obligation d'information et droit d'opposition du responsable). Le sous-traitant initial reste entièrement responsable du sous-traitant ultérieur vis-à-vis du responsable de traitement. En cas de violation commise par le sous-traitant ultérieur, le sous-traitant initial peut être tenu pour responsable.
Quelles sont les sanctions RGPD applicables aux sous-traitants ?
Les sous-traitants peuvent être directement sanctionnés par les autorités de contrôle (CNIL en France). Les amendes administratives varient selon la gravité de l'infraction : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial pour les violations des obligations de transparence et de tenue de registres, et jusqu'à 20 millions d'euros ou 4% du CA mondial pour les violations des principes de sécurité et de protection des données. Le montant le plus élevé est retenu. Les sanctions peuvent également inclure des avertissements, des injonctions de mise en conformité ou des limitations temporaires de traitement.
Quel contenu doit figurer dans le contrat entre responsable de traitement et sous-traitant ?
L'article 28 du RGPD impose que le contrat (ou acte juridique) précise obligatoirement : l'objet et la durée du traitement, la nature et les finalités du traitement, le type de données personnelles et les catégories de personnes concernées, les obligations et les droits du responsable de traitement, les instructions du responsable, l'obligation de confidentialité des personnes autorisées à traiter les données, les mesures de sécurité techniques et organisationnelles, les conditions de recours à un sous-traitant ultérieur, l'assistance du sous-traitant aux demandes d'exercice des droits, le sort des données en fin de contrat (restitution ou suppression), et les obligations d'audit et d'inspection.
Combien de temps un sous-traitant doit-il conserver les données personnelles ?
La durée de conservation dépend des instructions du responsable de traitement et des finalités du traitement. Le sous-traitant ne peut pas conserver les données plus longtemps que nécessaire pour exécuter sa mission, sauf obligation légale spécifique. En fin de contrat, le sous-traitant doit, selon le choix du responsable, soit restituer toutes les données personnelles, soit les supprimer définitivement, et certifier cette suppression.
Exception : certaines obligations légales imposent une conservation plus longue (exemple : Yousign conserve les dossiers de preuve de signature électronique pendant 10 ans conformément aux exigences réglementaires eIDAS).
Comment Yousign garantit-il la conformité RGPD en tant que sous-traitant ?
Yousign met en œuvre l'ensemble des garanties techniques et organisationnelles requises par le RGPD : contrats conformes à l'article 28, certification ISO 27001 pour la sécurité de l'information, chiffrement des données en transit et au repos, hébergement des données en Europe (France), registre des activités de traitement, procédures de notification des violations, assistance aux demandes d'exercice des droits, et conservation des dossiers de preuve pendant 10 ans conformément au règlement eIDAS. Nos clients disposent d'un DPA (Data Processing Agreement) détaillant l'ensemble de nos engagements en matière de protection des données personnelles.
