les deux peuvent être tenus responsables en cas de violation du RGPD lorsqu'une entreprise sous-traite le traitement de données personnelles. Cette responsabilité partagée représente l'une des innovations majeures du Règlement Général sur la Protection des Données par rapport à la législation antérieure.
Le principe fondamental de responsabilité conjointe
Une révolution juridique introduite par le RGPD
Le RGPD a instauré un système de responsabilité conjointe entre les différents acteurs du traitement des données personnelles. Cette approche répond à un objectif de "responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles", marquant une rupture majeure avec l'ancienne Loi Informatique et Libertés de 1978 qui ne prévoyait aucune sanction spécifique pour les sous-traitants.
L'article 82 du RGPD établit clairement ce principe fondamental :
Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi". Cette formulation avec la conjonction "ou" doit être comprise comme "et/ou", permettant aux personnes concernées de s'adresser indifféremment à l'un ou l'autre des acteurs.
Les conditions d'engagement de la responsabilité selon l'article 82
La responsabilité civile s'articule différemment selon la qualité de l'acteur concerné :
Pour le responsable de traitement : Sa responsabilité est engagée pour tout dommage causé par le traitement qui constitue une violation du RGPD, dès lors qu'il a participé au traitement.
Pour le sous-traitant : Sa responsabilité n'est engagée que dans deux cas spécifiques :
- S'il n'a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants
- S'il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci
Cette distinction reflète la nature différente des rôles et responsabilités de chaque acteur dans la chaîne de traitement des données.
La responsabilité du responsable de traitement
Une responsabilité globale et continue
Le responsable de traitement demeure l'acteur central de la protection des données personnelles. Il porte une responsabilité globale sur la conformité du traitement, qui ne peut être transférée même en cas de recours à un sous-traitant.
Ses obligations principales comprennent :
- La sélection rigoureuse de sous-traitants offrant des garanties suffisantes en matière de sécurité
- La surveillance continue des actions de ses sous-traitants
- La définition des instructions et des mesures de sécurité appropriées
- La mise en place d'audits réguliers pour s'assurer de la conformité
L'obligation de vigilance permanente
La CNIL considère que le responsable de traitement ne peut se contenter de déléguer ses responsabilités sans exercer un contrôle effectif. Cette obligation de vigilance se traduit par plusieurs exigences concrètes :
Obligation contractuelle : Prévoir des clauses relatives à la sécurité des données dans les contrats de sous-traitance
Obligation de surveillance : Mettre en œuvre un suivi effectif des mesures de sécurité déployées par le sous-traitant
Obligation d'audit : Réaliser des vérifications périodiques pour s'assurer du respect des engagements
Même en cas de défaillance avérée de son sous-traitant, le responsable de traitement reste susceptible de sanctions administratives.
La responsabilité du sous-traitant
Des obligations spécifiques et renforcées
Le RGPD a considérablement renforcé les obligations pesant sur les sous-traitants. Contrairement au régime antérieur, les sous-traitants sont désormais directement soumis à des obligations spécifiques et peuvent faire l'objet de sanctions administratives.
Les principales obligations du sous-traitant selon l'article 28 du RGPD incluent :
Obligations de transparence et d'assistance :
Formaliser par écrit les instructions délivrées par le responsable de traitement
Tenir un registre des activités de traitement effectuées pour le compte du responsable
Conseiller le responsable de traitement et l'alerter si une instruction semble contraire au RGPD
Obligations de sécurité :
Assurer un niveau de sécurité suffisant au regard de la nature des données traitées
Mettre en œuvre les mesures techniques et organisationnelles appropriées
Notifier au responsable de traitement toute violation de données dans les meilleurs délais
Obligations d'assistance :
Aider le responsable de traitement à garantir les droits des personnes concernées
Tenir à disposition toutes les informations nécessaires pour démontrer le respect des obligations
Permettre la réalisation d'audits par le responsable de traitement
L'obligation de conseil : une innovation jurisprudentielle
La CNIL a développé une jurisprudence particulièrement exigeante concernant l'obligation de conseil du sous-traitant. Dans sa décision du 27 janvier 2021, première sanction d'un sous-traitant, la Commission précise que :
"Le responsable de traitement doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant. Mais le sous-traitant doit aussi rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles, et les proposer au responsable de traitement".
Cette obligation de conseil implique que le sous-traitant ne peut se contenter d'exécuter passivement les instructions reçues, mais doit faire preuve de proactivité dans la protection des données.
La mise en œuvre pratique de la responsabilité partagée
Les décisions pionnières de la CNIL
La première application concrète de cette responsabilité partagée a eu lieu le 27 janvier 2021, lorsque la CNIL a sanctionné simultanément un responsable de traitement et son sous-traitant. Cette décision historique concernait un défaut de mise en place de mesures de sécurité contre les attaques par "credential stuffing".
Les sanctions prononcées étaient de 150 000 euros pour le responsable de traitement et 75 000 euros pour le sous-traitant, illustrant le principe de répartition proportionnelle de la responsabilité selon le degré d'implication de chaque acteur.
L'évolution de la jurisprudence administrative
Depuis cette première décision, la CNIL a confirmé sa doctrine de responsabilisation accrue des sous-traitants. La sanction de la société Dedalus en avril 2022, condamnée à 1,5 million d'euros pour une violation massive de données de santé, a marqué une nouvelle étape. Cette décision était particulièrement significative car elle sanctionnait le sous-traitant pour défaut d'encadrement contractuel des traitements, établissant sa responsabilité sur le fondement de l'article 28 du RGPD.
En 2024, la CNIL a intensifié son action répressive avec 87 sanctions prononcées, totalisant plus de 55 millions d'euros d'amendes. Cette montée en puissance témoigne de la maturité du cadre juridique et de la détermination de l'autorité de contrôle à faire respecter la responsabilité partagée.
Les mécanismes de responsabilité civile
La responsabilité solidaire selon l'article 82
L'article 82 du RGPD établit un régime de responsabilité solidaire particulièrement protecteur pour les victimes. Lorsque plusieurs responsables du traitement ou sous-traitants participent au même traitement et sont responsables d'un dommage, chacun peut être tenu responsable du dommage dans sa totalité.
Cette responsabilité solidaire présente plusieurs avantages :
- Elle garantit à la victime une réparation effective
- Elle permet de poursuivre l'acteur le plus solvable
- Elle évite les difficultés de partage de responsabilité pour la victime
Les conditions d'exonération
Un responsable du traitement ou un sous-traitant peut être exonéré de responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. Cette exonération nécessite une preuve positive et ne peut résulter du seul fait qu'une cyberattaque ait été menée par des tiers.
La Cour de Justice de l'Union Européenne a précisé dans son arrêt du 14 décembre 2023 que l'existence d'une violation de données par des cybercriminels ne suffit pas à exonérer automatiquement le responsable de traitement. Celui-ci doit démontrer le caractère approprié des mesures de sécurité mises en œuvre.
L'action récursoire entre coresponsables
Après indemnisation complète de la victime, l'acteur qui a réparé l'intégralité du dommage dispose d'une action récursoire contre les autres responsables. Cette action permet de réclamer la part de réparation correspondant à la part de responsabilité effective de chaque acteur dans le dommage.
Cette mécanisme assure un équilibre entre la protection des victimes (par la solidarité) et l'équité entre les coresponsables (par l'action récursoire).
Les enjeux contractuels de la responsabilité partagée
L'importance cruciale du contrat de sous-traitance
L'article 28 du RGPD impose que tout traitement effectué par un sous-traitant soit régi par un contrat écrit. Ce contrat, souvent appelé Data Processing Agreement (DPA), doit contenir des clauses obligatoires précisément définies par le règlement.
Les mentions obligatoires incluent notamment :
- L'objet, la durée, la nature et la finalité du traitement
- Le type de données personnelles et les catégories de personnes concernées
- Les obligations et droits du responsable du traitement
- Les mesures de sécurité techniques et organisationnelles
- Les conditions de sous-traitance ultérieure
La répartition contractuelle des responsabilités
Le contrat de sous-traitance joue un rôle déterminant dans la répartition des responsabilités. Une rédaction précise peut permettre de :
Clarifier les obligations respectives de chaque partie
Définir les procédures en cas d'incident de sécurité
Organiser les modalités d'audit et de contrôle
Prévoir les mécanismes d'indemnisation entre parties
Cependant, les clauses contractuelles ne peuvent pas déroger aux obligations légales imposées par le RGPD. Une clause d'exonération totale de responsabilité du sous-traitant serait par exemple inopposable aux tiers.
Les bonnes pratiques contractuelles
Pour sécuriser les relations contractuelles, la CNIL recommande plusieurs bonnes pratiques
Du côté du responsable de traitement :
Réaliser un audit préalable des garanties offertes par le sous-traitant
Prévoir des mécanismes de surveillance continue
Définir des procédures claires en cas de violation de données
Négocier des clauses de responsabilité équilibrées
Du côté du sous-traitant :
Intégrer par défaut les mentions obligatoires dans les contrats standards
Mettre en place des procédures de notification des incidents
Documenter les mesures de sécurité déployées
Proposer proactivement des améliorations sécuritaires
L'impact sur les pratiques professionnelles
Une transformation de la relation client-prestataire
La responsabilité partagée a profondément transformé les relations entre donneurs d'ordre et prestataires. Les sous-traitants ne peuvent plus se contenter d'une approche purement exécutoire mais doivent développer une expertise en protection des données.
Cette évolution se traduit par plusieurs changements pratiques :
Développement d'une offre de conseil en protection des données
Mise en place de certifications et labels de conformité
Renforcement des équipes juridiques spécialisées
Intégration de la conformité RGPD comme argument commercial
Les défis de mise en œuvre
Malgré ces avancées, plusieurs défis persistent :
La complexité de qualification : La distinction entre sous-traitant et responsable conjoint reste parfois délicate à établir en pratique.
L'asymétrie d'information : Les responsables de traitement n'ont pas toujours les compétences techniques pour évaluer les garanties de leurs sous-traitants.
Les coûts de conformité : La mise en œuvre des obligations peut représenter un coût significatif, particulièrement pour les PME.
L'évolution technologique : Les mesures de sécurité doivent être adaptées en permanence face aux nouvelles menaces.