les deux peuvent être tenus responsables en cas de violation du RGPD lorsqu'une entreprise sous-traite le traitement de données personnelles. Cette responsabilité partagée représente l'une des innovations majeures du Règlement Général sur la Protection des Données par rapport à la législation antérieure.
Le principe de responsabilité conjointe
Le RGPD a instauré un système de responsabilité conjointe entre les différents acteurs du traitement des données personnelles. Cette approche répond à un objectif de "responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles", marquant une rupture avec l'ancienne Loi Informatique et Libertés de 1978 qui ne prévoyait aucune sanction spécifique pour les sous-traitants.
L'article 82 du RGPD établit clairement ce principe : "Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi". Cette formulation avec la conjonction "ou" doit être comprise comme "et/ou", permettant aux personnes concernées de s'adresser indifféremment à l'un ou l'autre des acteurs.
Responsabilité du responsable de traitement
Le responsable de traitement demeure l'acteur central de la protection des données. Il porte une responsabilité globale sur la conformité du traitement. Ses obligations principales comprennent :
- La sélection rigoureuse de sous-traitants offrant des garanties suffisantes en matière de sécurité
- La surveillance continue des actions de ses sous-traitants
- La définition des instructions et des mesures de sécurité appropriées
- La mise en place d'audits réguliers pour s'assurer de la conformité
Même en cas de défaillance de son sous-traitant, le responsable de traitement reste susceptible de sanctions. La CNIL considère qu'il ne peut se contenter de déléguer ses responsabilités sans exercer un contrôle effectif.