ForTeam IT
Retour au blog
Guides

RGPD et sous-traitance d'une prestation IT

RGPD et sous-traitance IT : rôles responsable et sous-traitant, clauses obligatoires, sécurité des données et sous-traitance ultérieure expliqués simplement.

5 min de lecturePar ForTeam IT

RGPD et sous-traitance d'une prestation IT

Dès qu'une prestation IT touche à des données personnelles, le RGPD impose un cadre contractuel précis entre le client et son prestataire. Méconnaître ces obligations expose à des sanctions et fragilise la relation. Voici les points clés, en information générale.

Qui est responsable, qui est sous-traitant

Le RGPD distingue deux rôles centraux. Le responsable de traitement définit les finalités et les moyens du traitement des données. Le sous-traitant traite les données pour le compte du responsable, selon ses instructions. Dans une prestation IT, le client est généralement responsable, et le prestataire sous-traitant, mais la qualification dépend des faits, pas des étiquettes.

Cette distinction commande les obligations de chacun. Le fondamental est rappelé dans le glossaire RGPD. Bien identifier les rôles dès le départ évite les zones grises où personne ne se sent responsable de la conformité.

Attention aux situations intermédiaires. Un prestataire qui définit lui-même certaines finalités, par exemple en réutilisant les données pour ses propres besoins, peut basculer dans une responsabilité conjointe, voire devenir responsable de traitement à part entière. La qualification ne dépend donc pas de ce que le contrat affirme, mais de ce qui se passe réellement. Décrire précisément qui décide de quoi, dès la phase de cadrage, fixe les responsabilités sur des faits plutôt que sur des intentions.

L'accord de sous-traitance obligatoire

Le RGPD impose un contrat écrit encadrant la sous-traitance des traitements. Cet accord, souvent appelé DPA, doit notamment prévoir :

  • l'objet, la durée, la nature et la finalité du traitement ;
  • les catégories de données et de personnes concernées ;
  • les obligations et droits du responsable ;
  • l'engagement du sous-traitant à n'agir que sur instruction documentée.

Sans cet accord, le traitement est en infraction, même si la prestation technique est parfaite. C'est une pièce contractuelle, pas une formalité administrative à signer en fin de projet.

L'erreur fréquente consiste à traiter ce document comme une annexe générique signée à la hâte. Or il doit refléter la réalité du traitement : les données réellement manipulées, les durées de conservation réelles, les mesures de sécurité effectivement en place. Un accord copié-collé sans correspondance avec la prestation offre une protection illusoire et se retournera contre les deux parties en cas de contrôle ou d'incident. Le rédiger en même temps que le contrat principal, et non après, garantit cette cohérence.

Les obligations concrètes du sous-traitant

Le sous-traitant ne se contente pas de suivre les instructions. Il doit aussi :

  • mettre en place des mesures de sécurité techniques et organisationnelles adaptées ;
  • garantir la confidentialité des personnes qui accèdent aux données ;
  • assister le responsable pour répondre aux demandes des personnes concernées ;
  • notifier sans délai toute violation de données ;
  • supprimer ou restituer les données en fin de prestation.

La sécurité des accès est un volet à part entière : la gestion fine des droits relève des principes décrits dans le glossaire IAM. Limiter qui accède à quoi est l'une des mesures les plus efficaces et les plus attendues par un auditeur.

Ces obligations doivent se traduire en pratiques vérifiables, pas en déclarations d'intention. Un responsable de traitement a le droit, et même le devoir, de s'assurer que son sous-traitant respecte ses engagements : audits, questionnaires de sécurité, preuves documentaires. Côté sous-traitant, anticiper ces demandes en tenant à jour la documentation de ses mesures évite d'être pris au dépourvu et démontre un sérieux qui rassure le client. La conformité se construit dans la relation continue, pas seulement au moment de la signature.

La sous-traitance ultérieure

Un sous-traitant qui souhaite lui-même recourir à un autre prestataire pour traiter les données doit obtenir l'autorisation du responsable et répercuter sur ce nouveau maillon les mêmes obligations. C'est la sous-traitance ultérieure, ou sous-traitance en cascade.

Ce point est souvent négligé dans les contrats. Côté client, demandez la liste des sous-traitants ultérieurs et un droit d'opposition. Côté prestataire, transparence et clauses miroir sont la bonne pratique. La chaîne contractuelle ne vaut que par son maillon le plus faible.

Transferts hors Union européenne

Si les données sont hébergées ou accessibles depuis un pays hors de l'Union européenne, des garanties spécifiques s'imposent. L'hébergement cloud est ici un point d'attention majeur : la localisation des serveurs et l'identité du fournisseur conditionnent la légalité du transfert.

Avant de contractualiser, cartographiez où les données transitent réellement, y compris pour la maintenance et le support. Une donnée « hébergée en Europe » mais administrée depuis ailleurs peut constituer un transfert qui doit être encadré.

Ce travail de cartographie est souvent négligé parce qu'il oblige à regarder au-delà du discours commercial du fournisseur. Posez des questions précises : où sont les serveurs, qui accède aux données pour le support, quelles équipes interviennent et depuis quel pays. Les réponses déterminent si des garanties supplémentaires sont nécessaires. Mieux vaut clarifier ces points avant de signer, quand vous avez encore un levier de négociation, qu'après, quand le traitement a déjà commencé.

Articuler RGPD, confidentialité et contrat

Le volet RGPD s'inscrit dans un ensemble contractuel plus large. Il se combine avec l'accord de confidentialité, voir le glossaire NDA, et avec les conditions générales d'une relation durable, abordées dans le glossaire MSA. Traiter ces dimensions ensemble, dès la phase de négociation, évite les contradictions entre annexes.

FAQ

Le DPA est-il vraiment obligatoire ? Oui, dès qu'un sous-traitant traite des données personnelles pour le compte d'un responsable. Son absence constitue un manquement.

Le prestataire est-il responsable en cas de fuite ? Le sous-traitant a ses propres obligations et peut être sanctionné. La responsabilité se partage selon les rôles et les manquements de chacun.

Faut-il l'accord du client pour ajouter un sous-traitant ? Oui, la sous-traitance ultérieure suppose une autorisation et des clauses équivalentes.

Ce guide remplace-t-il un conseil juridique ? Non. Il donne une information générale. Pour un cas précis, consultez un professionnel du droit.

ForTeam IT à vos côtés

ForTeam IT accompagne consultants IT freelance et entreprises : missions sélectionnées, calibrage du TJM, mise en relation avec des grands comptes. Découvrez aussi nos guides, notre glossaire IT & ESN et notre grille des TJM.

Rejoindre la communauté

RGPDsous-traitancedonnées personnellesconformitécontratguide

À lire aussi

GuidesSous-traiter ou s'associer entre freelances5 min de lecture
GuidesSécuriser la propriété intellectuelle d'une mission5 min de lecture
GuidesNégocier un contrat de prestation IT5 min de lecture

Vous êtes consultant IT freelance ?

Rejoignez ForTeam IT et accédez à des missions sélectionnées chez nos clients grands comptes.

Rejoindre la communauté