role_du_sous_traitant_rgpd

Le sous-traitant est aussi responsable du traitement de données personnelles qu’une entreprise qui le fait pour son propre compte. Il s’agit d’un individu ou d’un organisme qui effectue un traitement pour le compte d’un tiers, en suivant ses instructions et en étant sous l’autorité d’un responsable de traitement. Ce dernier est chargé d’établir les finalités et les moyens d’un traitement, selon l’article 4 du RGPD.

Les sous-traitants RGPD, qui sont-ils ?

Un sous traitant RGPD peut être :

  • Un prestataire de services informatiques, un intégrateur de logiciels, une société de sécurité informatique, une société de service du numérique
  • Une agence de marketing ou de communication qui effectue un traitement de données personnelles pour le compte de ses clients
  • Un organisme qui propose un service ou une prestation impliquant ce type de traitement pour le compte d’une autre société
  • Un organisme public ou bien une association


Les éditeurs de logiciels ou les fabricants de matériels ne sont pas concernés car ils n’ont pas accès aux données personnelles, et ne les traitent tout simplement pas.

Quel changement pour le sous traitant RGPD ?

Le RGPD tente de responsabiliser tous les acteurs qui sont amenés à effectuer un traitement de données personnelles, si celui-ci concerne des citoyens européens, même si l’organisme concerné n’est pas basé sur le territoire de l’Union européenne. Des règles sont imposées aux sous-traitants : notamment, ils doivent aider les responsables de traitement à remettre leurs traitements de données personnelles en conformité.

Les obligations RGPD du sous-traitant

Voici ce que l’article 28 impose notamment au sous-traitant :

  • Le sous traitant RGPD doit présenter des garanties suffisantes concernant l’application de mesures techniques et organisationnelles appropriées afin que le traitement de données personnelles réalisé respecte le RGPD.
  • Le sous-traitant ne peut pas faire appel à un autre sous-traitant sans une autorisation écrite préalable de la part du responsable de traitement.
  • Le traitement de données personnelles fait par un sous-traitant est dirigé par un contrat ou par un autre acte juridique, qui établit le lien entre le sous-traitant et le responsable de traitement, l’objet, la durée, la nature, l’objectif, le type de données, etc.
  • L’autre sous-traitant qui peut être recruté par le sous traitant RGPD doit respecter les mêmes règles en termes de protection des données personnelles.
  • Des clauses contractuelles types peuvent être adoptées par une autorité de contrôle.
  • Le contrat ou autre acte juridique doit être sous forme écrite, ainsi que numérique.
  • Si le sous-traitant établit les finalités et moyens du traitement de données personnelles, il devient alors aux yeux du RGPD le responsable du traitement en question.



Le sous-traitant puis le représentant du sous-traitant doivent tenir un registre des catégories d’activités de traitement. Il doit contenir :

  • les noms et les coordonnées du sous-traitant, du responsable de traitement, du représentant du responsable de traitement, du délégué à la protection des données…
  • les catégories des traitements réalisés
  • les transferts de données personnelles vers un pays tiers ou un organisme international et les documents qui attestent des garanties appropriées existantes
  • la description des mesures de sécurité techniques et organisationnelles