Le sous-traitant, responsabilités et

prérogatives
Chapitre IV intitulé « Responsable de
traitement et sous-traitant »
  Exemple : l’obligation de sécurité des
données
• Art. 34 Loi de 1978 Art. 32 du RGPD
« Le responsable du traitement est tenu de prendre
toutes précautions utiles (…) pour préserver la « Compte tenu de l’état des connaissances, des
sécurité des données ... » coûts de mise en œuvre et de la nature, de la
portée, du contexte et des finalités du traitement
• Art. 35 Loi de 1978 ainsi que des risques (…) le responsable de
« Le sous-traitant doit présenter des garanties traitement et le sous-traitant mettent en œuvre des
suffisantes pour assurer (…) l’article 34 (…) Le mesures techniques et organisationnelles
contrat liant le sous-traitant au responsable du appropriées .. »
traitement comporte l’indication des
Mettre en œuvre « une procédure visant à tester, à
obligations incombant au sous-traitant en
matière de protection de la sécurité et de la analyser et à évaluer régulièrement l’efficacité des
mesures techniques et organisationnelles pour
confidentialité des données… » assurer la sécurité du traitement »
Sanctions CNIL : 150K€
Sanctions CNIL : 10M€ ou 2% du CA mondial total
Art. 226-17 du code pénal: « Le fait de procéder ou
de faire procéder à un traitement sans mettre Sanction pénale : idem (?)
en oeuvre les mesures prescrites à l’article 34
(…) est puni de 5 ans d’emprisonnement et de
300 000 € d’amende

3
 En interne contrat de travail / charte
 Registre des activités de traitement (Sous-
traitant)
 DPO ?
 Façade de légalité (Site Web, formulaires,
discours commerciaux)
 Privacy by Design et les mesures de sécurité
 Contrat avec donneur d’ordre
◦ Pour transfert de données en Tunisie, contrat avec
clauses types obligatoire entre ST et RT (qui peut-
être différent du donneur d’ordre) – Art. 28 3) a)

5
Responsable de traitement, sous-traitant,
responsables conjoints, tiers
Des obligations qui diffèrent …
Le RT Le ST
•Obligations d’information et de •Pas d’obligations directes, mais doit
garantie des droits des personnes « aider le RT », article 28, 3, e)
•Pas d’obligations de PIA, mais doit
•Analyses d’impact si traitement à « aider le RT », article 28, 3, f)

risque élevé (PIA) •Obligation de notification au RT

•Obligations de notification à dans les meilleurs délais, article 33, 2
l’Autorité de contrôle (CNIL) d’une •Etc.
violation dans les 72 heures de la
connaissance
•Etc.

7
« Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à
la fois, un responsable du traitement et un sous-traitant participent au même
traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables
d'un dommage causé par le traitement, chacun des responsables du traitement
ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de
garantir à la personne concernée une réparation effective. »

◦ Confusion sur Responsable du Traitement et

« responsable du dommage »
◦ Un droit de la responsabilité juridique particulier
aux données personnelles – responsabilité solidaire
?
◦ Comment gérer le refus des clients de limiter la
responsabilité du prestataire ?

8
• Faire reconnaître au contrat le statut et rôle de ST pour le prestataire de Cloud
• Limites… quelques illustrations
• Le RT définit au contrat les instructions (écrites) pour le ST, si en cours
d’exécution du contrat, une nouvelle prestation est fournie, à la demande du
RT, ou sur proposition du ST, il faut une instruction écrite du RT
• autrement, le ST risque de se voir considéré responsable conjoint pour
avoir pris une initiative de traitement des données sans instructions
(écrites) [Jurisprudence DARTY]
• Conséquences pour le sous-traitant – article 82. 2

« (…) Un sous-traitant n'est tenu pour responsable du dommage causé par le

traitement que s'il n'a pas respecté les obligations prévues par le présent
règlement qui incombent spécifiquement aux sous-traitants ou qu'il a agi en-
dehors des instructions licites du responsable du traitement ou contrairement à
celles-ci. »

9
 A cette fin, le Prestataire s'engage à respecter les obligations suivantes et à les faire respecter
par son personnel et/ou par ses propres sous-traitants :
◦ n'utiliser les Données Personnelles qu'afin d'accomplir les Services du présent Contrat ;
◦ ne pas divulguer les Données Personnelles à d'autres personnes, qu'il s'agisse de personnes privées ou
publiques, physiques ou morales, sauf pour répondre à ses obligations légales ou réglementaires ;
◦ prendre les mesures de nature à éviter toute utilisation détournée ou frauduleuse des Données
Personnelles ;
◦ ne pas vendre, céder, louer et plus généralement ne pas transférer les Données Personnelles sous quelque
raison que ce soit sans obtenir l'accord explicite préalable du Responsable de Traitement;
◦ ne pas réaliser de copies ou duplications des Données Personnelles sans l'autorisation écrite préalable du
Responsable de Traitement, à moins que ces copies ou duplications soient nécessaires à l'accomplissement
des Services;
◦ informer immédiatement le RT de tout accès accidentel ou non autorisé aux Données Personnelles, de tout
manquement à la réglementation applicable en matière de protection des données personnelles ou toute
suspicion d'un tel manquement ;
◦ mettre en œuvre des procédures de gestion des incidents et reporter les incidents majeurs notamment ceux
concernant des accès non autorisés et qui peuvent affecter de manière substantielle les Données
Personnelles accessibles ou communiquées dans le cadre du présent Contrat ;
◦ se conformer aux instructions du Responsable de Traitement en matière de sécurité et de confidentialité ;
◦ de manière générale, prendre les mesures de sécurité et de confidentialité au regard de l'état de l'art, de
l’économie du contrat et des règlementations applicables, notamment matérielles, nécessaires pour assurer
la conservation et l'intégrité des informations traitées pendant la durée du Contrat (par exemple protéger
l'accès aux ordinateurs, utiliser des antivirus, effectuer régulièrement des sauvegardes sur des supports
amovibles et sensibiliser son personnel et ses prestataires aux mesures de sécurité).

11
Les Parties conviennent que le RT pourra faire procéder, à ses frais pendant la durée du contrat, à un audit par an d'une durée
maximale de deux jours calendaires portant sur les mesures de sécurité et de confidentialité mises en place par le Prestataire.
Cet audit pourra être effectué par les soins, soit d'une structure audit interne au RT, soit par un cabinet extérieur à celui-ci.
Le RT devra aviser le Prestataire par écrit de son intention de faire procéder à un audit, moyennant le respect d'un préavis
minimum de trois jours ouvrables. En tout état de cause, le RT devra notifier au Prestataire l'identité de la structure d'audit
retenue lorsqu'il s'agit d'un cabinet extérieur. Le Prestataire pourra récuser le choix du RT durant la période de préavis. Cette
récusation devra être motivée. Dans ce cas, après concertation avec le Prestataire, le RT notifiera au Prestataire le nom d'un
nouveau cabinet extérieur. A défaut d'accord, l'auditeur sera désigné par le Tribunal de Commerce désigné au Contrat.
Dans le cas où la réalisation de l'audit nécessite une intervention dans les locaux du Prestataire, ces opérations d'audit ne
devront pas perturber le bon fonctionnement des Services au-delà des contraintes inhérentes aux procédures auditées ni créer
des coûts à la charge du Prestataire pour la mise en œuvre de ces opérations. En tout état de cause, dans l'hypothèse où l'audit
risquerait de perturber les conditions d'exécution des Services, le Prestataire sera en droit d'obtenir un délai de deux (2) jours
afin de négocier avec l'auditeur les aménagements de la mission permettant d'éviter ces perturbations. Par ailleurs, si l'audit
nécessite l'intervention du Prestataire, cette intervention devra être sollicitée au minimum 48 heures avant. Les coûts générés du
fait de l'intervention du Prestataire seront facturés au RT.
Les conditions d'intervention seront déterminées d'un commun accord pour chaque demande du RT. Dans tous les cas d'audit,
les auditeurs : devront signer un engagement de confidentialité, n'auront accès qu'à l'environnement d'exploitation dédié au RT,
devront respecter les règlements internes et les règles de sécurité du Prestataire.
De son côté, le Prestataire s'engage à permettre aux auditeurs du RT, l'accès aux informations nécessaires à leur mission, étant
entendu que la consultation des documents doit se faire dans les locaux du Prestataire ou du RT et est limitée à l'objet des
missions imparties aux auditeurs, les informations recueillies ne pouvant être utilisées à d'autres fins.
Le projet de rapport d'audit sera soumis au Prestataire qui formulera par écrit ses observations. Elles seront jointes au rapport
définitif. Si les conclusions des audits révèlent des non conformités par rapport aux obligations incombant au Prestataire dans le
cadre du Contrat, le Prestataire devra prendre les mesures nécessaires pour y remédier dans les délais expressément convenus
avec le RT et sans frais supplémentaires pour le RT.

12
 Clause d’audit
◦ Cf. ci-avant
 Incessibilité partielle ou totale du contrat
◦ Clause d’intuitu personae
 Interdiction de la sous-traitance secondaire
◦ Conforme au RGPD (Art. 28,2 + 28,3 d) + 28,4)
 Information obligatoire en cas de changement
de propriétaire du ST (cession de contrôle)
avec faculté de sortie du contrat sans
pénalités pour le RT

13
14