Responsable de traitement ou sous-traitant

Qu’est-ce qu’un responsable de traitement ?

Le responsable de traitement détermine les finalités et les moyens du traitement des données personnelles. En d’autres termes, le responsable de traitement décide « comment » et « pourquoi » les données personnelles sont traitées. Un responsable du traitement peut être une personne morale, par exemple une entreprise, une PME, une autorité publique, une agence ou un autre organisme.

Dans certains cas, les finalités et les moyens du traitement des données personnelles, ainsi que la désignation du responsable de traitement, peuvent être déterminés par le droit de l’UE ou le droit d’un État membre.

Qu’est-ce qu’un responsable conjoint de traitement ?

Lorsque deux responsables de traitement, ou plus, déterminent conjointement la finalité et les moyens du traitement, ils sont considérés comme des responsables conjoints de traitement. Ils décident ensemble de traiter les données personnelles  pour des objectifs communs. La responsabilité conjointe peut prendre de nombreuses formes et la participation des différents responsables du traitement peut être inégale. Les responsables conjoints du traitement doivent donc déterminer leurs responsabilités respectives au regard du RGPD.

Quelles sont les responsabilités d’un responsable de traitement ou d’un responsable conjoint de traitement ?

Lorsqu’il décide des finalités et des moyens du traitement des données personnelles, le responsable du traitement ou les responsables conjoints du traitement doivent veiller à ce que les données personnelles des individus soient protégées. Pour ce faire, le responsable du traitement ou les responsables conjoints du traitement doivent mettre en place des mesures visant à protéger les données personnelles et à permettre aux individus d’exercer leurs droits.

Pour plus d’informations, consultez la liste de contrôle des responsabilités du responsable/responsable conjoint.

 

Qu’est-ce qu’un sous-traitant ?

Un sous-traitant agit uniquement sous les instructions du responsable de traitement, en traitant des données personnelles pour le compte de celui-ci.

À l’instar d’un responsable du traitement des données ou d’un responsable conjoint du traitement, un sous-traitant peut être une personne morale, par exemple une entreprise, une PME, une autorité publique ou un autre organisme.

Qu’est-ce qu’un sous-traitant ultérieur ?

Un sous-traitant ultérieur agit sous les instructions du sous-traitant, ce qui signifie qu’il peut traiter les données personnelles des personnes pour le compte du sous-traitant. Un sous-traitant ultérieur peut être une personne morale, par exemple une entreprise, une PME, une autorité publique, une agence ou un autre organisme.

À noter : un sous-traitant ultérieur ne peut être nommé que si le responsable du traitement, ou le responsable conjoint, l’autorise sous une forme écrite. Si tel est le cas, le sous-traitant doit établir, avec le sous-traitant ultérieur, un contrat contraignant détaillant les responsabilités de ce dernier. Ce contrat entre sous-traitant et sous-traitant ultérieur doit prévoir la même protection des données personnelles des personnes que le contrat entre responsable de traitement et sous-traitant.

Quelles sont les responsabilités d’un sous-traitant ?

Bien que la responsabilité générale incombe généralement au responsable du traitement, les sous-traitants ont également certaines responsabilités en vertu du RGPD. Ils doivent effectuer les activités de traitement avec les mesures techniques et organisationnelles appropriées prescrites par le responsable du traitement des données ou le responsable conjoint du traitement. Ce faisant, le sous-traitant aide le responsable du traitement à se conformer au RGPD.

La relation entre responsable du traitement et sous-traitant, comprenant les responsabilités de ce dernier, doit être encadrée par un contrat dans lequel les activités et les moyens de traitement des données personnelles sont documentés.

Pour plus d’informations, consultez la «liste de contrôle des responsabilités du stagiaire»

 

Que faut-il inclure dans un contrat de responsable de traitement – sous-traitant ?

Le contrat entre le responsable du traitement ou le responsable conjoint du traitement et le sous-traitant doit stipuler que ce dernier :

  • traite les données personnelles uniquement sur instruction du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays situé en dehors de l’EEE ;
  • veille à ce que les personnes autorisées à traiter les données se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité ;
  • assure la sécurité du traitement ;
  • ne fait pas appel à un autre sous-traitant sans l’autorisation écrite spécifique ou générale préalable du responsable du traitement, qui a une possibilité significative de s’opposer;
  • assiste le responsable du traitement pour l’exécution de l’obligation de ce dernier de répondre aux demandes d’exercice des droits par une personne ;
  • aide le responsable du traitement à sécuriser le traitement, à notifier les violations de données et à effectuer des AIPD ;
  • au choix du responsable du traitement, supprime ou renvoie toutes les données personnelles au responsable du traitement après la fin de la prestation des services ;
  • met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations découlant du RGPD ;
  • permet et contribue aux audits, y compris aux inspections effectuées par le responsable du traitement des données ou un autre auditeur mandaté par celui-ci.

Que faut-il inclure dans un contrat de sous-traitant — sous-traitant ultérieur ?

Le contrat entre le sous-traitant et le sous-traitant ultérieur doit comporter des clauses spécifiques garantissant que les données personnelles qui doivent être traitées seront protégées de la même manière que celles prévues dans le contrat entre responsable du traitement et sous-traitant.

 

Qui est responsable et envers qui ?

Un responsable du traitement, ou un responsable conjoint du traitement, est responsable à la fois de sa propre conformité avec le RGPD et de la conformité du sous-traitant choisi. Concrètement, si le sous-traitant ne respecte pas ses obligations en vertu du RGPD, le responsable du traitement, ou le responsable conjoint du traitement, pourrait être tenu responsable et être soumis à des amendes et d’autres conséquences juridiques, le cas échéant.

Un sous-traitant est responsable de sa propre conformité avec le RGPD et peut être responsable envers le responsable du traitement en cas de violation du contrat de sous-traitance. Un sous-traitant peut également être responsable envers le responsable du traitement des violations causées par le sous-traitant ultérieur. 

 

Checklist des responsabilités

Checklist des responsabilités du responsable du traitement ou du contrôleur conjoint

  • Respect des principes de protection des données en vertu de l’article 5 du RGPD
  • Respect des droits des personnes physiques en matière de protection des données
  • Tenue du registre des activités de traitement
  • Sécurisation du traitement
  • Choix du sous-traitant approprié
  • Définition des clauses contraignantes dans le contrat avec le sous-traitant
  • Notification des violations de données personnelles à l’autorité compétente en matière de protection des données de l’EEE et aux particuliers, si nécessaire
  • Responsabilité des activités de traitement, protection des données dès la conception et par défaut, réalisation des analyses d’impact sur la protection des données si nécessaire
  • Désignation d’un délégué à la protection des données si nécessaire
  • Respect des obligations en matière de protection des données relatives aux transferts internationaux de données personnelles
  • Coopération avec les autorités chargées de la protection des données

Liste de contrôle des responsabilités du sous-traitant

  • Suivi des instructions du contrôleur
  • Tenue de registres des activités de traitement
  • Sécurisation du traitement
  • Respecter et respecter le contrat liant contrôleur-traitant
  • Obtenir l’autorisation du responsable du traitement avant d’engager un nouveau sous-traitant ultérieur (et donner au contrôleur la possibilité de s’opposer). Si nécessaire, un contrat de sous-traitant — sous-traitant ultérieur doit être mis en place et doit être équivalent au contrat initial entre responsable de traitement et sous-traitant
  • Notification des violations de données personnelles au responsable du traitement 
  • Notification des manquements au RGPD au responsable du traitement
  • Responsabilité des activités de traitement : par exemple, protection des données dès la conception et par défaut
  • Désignation d’un délégué à la protection des données si nécessaire
  • Vérification que les transferts internationaux soint autorisés par le responsable du traitement et conformes au RGPD
  • Coopération avec les autorités de protection des données