Sous‑traitance désigne le traitement de données personnelles effectué par un prestataire sur instruction du responsable du traitement. Le responsable détermine la finalité et les moyens essentiels, tandis que le prestataire ne choisit que les moyens non essentiels. Il y a sous‑traitance uniquement si le prestataire n’a pas de finalités propres et si le traitement constitue un élément central de la prestation.
***
1. Définition des rôles
Les organisations collaborent souvent avec des prestataires externes traitant des données personnelles. La qualification correcte — sous‑traitant, responsables conjoints ou responsable autonome — détermine les obligations, la documentation et la responsabilité.
2. Élément clé : le pouvoir d’instruction
Il y a sous‑traitance lorsque le prestataire est soumis aux instructions du responsable du traitement et n’agit pas pour ses propres finalités. Le responsable détermine la finalité et les moyens essentiels du traitement.
3. Indices de sous‑traitance
rôle d’« extension opérationnelle »
instructions détaillées
fonction de soutien
aucune décision sur la nature ou la quantité des données
absence d’intérêt propre
accès systématique aux données
4. Quand il ne s’agit pas de sous‑traitance
Il n’y a pas de sous‑traitance lorsque le prestataire dispose de sa propre base légale (avocats, experts‑comptables), poursuit ses propres finalités ou lorsque le traitement n’est qu’un effet secondaire de la prestation.
5. Activité principale comme indice
Si le traitement des données constitue l’élément central de la prestation (hébergement, services cloud), cela indique généralement une sous‑traitance.
***
Une qualification correcte entre sous‑traitance, responsabilité conjointe et responsabilité autonome est essentielle pour garantir la conformité, réduire les risques et structurer les obligations contractuelles. Pour faciliter l’analyse, nous recommandons d’utiliser la logique décisionnelle et la check‑list ci‑dessous comme point de départ avant toute évaluation juridique approfondie.