Vous travaillez avec des prestataires techniques, informatiques, hébergeurs ou services externalisés manipulant des données personnelles ? Ne pas notifier leur intervention au responsable de traitement peut vous exposer à de lourdes sanctions, même en l’absence d’incident de sécurité. L’affaire récente impliquant Marina Salud, lourdement sanctionnée par l’autorité espagnole de protection des données (AEPD), en est une illustration directe. Ne laissez pas une faille documentaire ou contractuelle remettre en cause vos efforts de conformité. Nous accompagnons les structures publiques et privées dans la mise en place de cadres juridiques solides et conformes au RGPD.
Un contrat de délégation clair, mais une gouvernance défaillante
Marina Salud gère depuis 2009 l’hôpital public de Dénia pour le compte de la Communauté valencienne. Le contrat initial, signé avec le ministère régional de la santé, comportait une clause spécifique encadrant strictement le recours à des sous-traitants : tout ajout ou modification devait être formellement notifié à l’administration, avec possibilité d’opposition. Cette clause, bien qu’antérieure au RGPD, anticipait déjà ce que l’article 28(2) impose aujourd’hui dans l’ensemble des États membres de l’Union européenne.
Malgré cette obligation contractuelle explicite, Marina Salud a refusé de transmettre aux inspecteurs du ministère les contrats signés avec ses prestataires, y compris ceux chargés des services informatiques, alors même que ces derniers traitaient des données de santé. L’entreprise a prétendu que le contrat de 2009 lui conférait une autorisation générale pour choisir ses sous-traitants sans validation préalable, et que l’audit sanitaire ne justifiait pas l’accès à ces documents. Une position que l’AEPD a qualifiée de manifestement infondée.
Un manquement de transparence sanctionné, même sans faille technique
Saisie par le ministère, l’AEPD a mené sa propre enquête. Elle a établi que Marina Salud avait modifié plusieurs fois sa liste de sous-traitants sans en avertir son donneur d’ordre, en contradiction avec ses obligations contractuelles et avec le RGPD. L’autorité n’a pas identifié d’incident de sécurité ou de compromission de données, mais elle a estimé que le non-respect du principe de transparence dans la chaîne de traitement justifiait une sanction. Le montant de l’amende – 500 000 euros – reste inférieur au plafond légal (2 % du chiffre d’affaires annuel), mais il constitue un signal fort adressé à tous les sous-traitants.
Cette affaire illustre une évolution notable dans la manière dont les autorités de protection européennes évaluent les manquements à la conformité : ce ne sont plus seulement les failles techniques ou les violations de sécurité qui sont sanctionnées, mais aussi les défauts de gouvernance, les erreurs contractuelles, les absences de procédure. Le message est clair : la conformité RGPD est aussi une affaire d’organisation.
Ce que dit l’article 28 du RGPD : obligations du sous-traitant
L’article 28 du Règlement général sur la protection des données impose plusieurs obligations au sous-traitant. Il doit conclure avec le responsable de traitement un contrat écrit détaillant la nature, la finalité et les modalités du traitement, les catégories de données concernées, la durée de conservation, les engagements de sécurité, de confidentialité et d’assistance. Mais il doit également obtenir une autorisation spécifique ou générale pour recourir à un autre sous-traitant.
Dans le cas d’une autorisation générale le sous-traitant a l’obligation d’informer préalablement le responsable de traitement de toute modification concernant ses prestataires. Le but est de permettre à ce dernier d’exercer un droit d’opposition, notamment si le nouveau sous-traitant ne présente pas les garanties suffisantes.
Omettre cette information constitue une violation du contrat et du RGPD. Même si le sous-traitant nouvellement engagé respecte toutes les règles de sécurité, le fait de ne pas en informer le responsable compromet la conformité globale du traitement.
Bonnes pratiques pour sécuriser la chaîne de sous-traitance
Face à ce risque, plusieurs mesures s’imposent pour sécuriser vos relations avec les sous-traitants ultérieurs. Tout d’abord, veillez à ce que vos contrats de sous-traitance soient systématiquement revus à l’aune de l’article 28. Chaque clause doit être claire sur les obligations de notification, d’autorisation, de responsabilité et de coopération. Ensuite, mettez en place un registre opérationnel de vos sous-traitants, à jour et facilement mobilisable en cas de contrôle. Ce registre doit inclure la nature du traitement, les garanties apportées, les dates de mise en relation et la trace des notifications réalisées.
Vous devez également définir une procédure interne de validation des prestataires. Toute nouvelle relation ou tout changement dans la chaîne doit être documenté et transmis au responsable de traitement dans les délais convenus. Cela suppose une coordination étroite entre les équipes juridiques, DSI et achats.
Enfin, préparez vos équipes à l’éventualité d’un audit. Pouvez-vous fournir rapidement les contrats de sous-traitance ? Êtes-vous capable de démontrer que vos obligations de notification ont été respectées ? Avez-vous formalisé des critères d’évaluation pour vos sous-traitants ?
AGISSEZ DÈS AUJOURD’HUI POUR PROTÉGER VOS DONNÉES ET CELLES DE VOS ADMINISTRÉS.
CONTACTEZ-NOUS POUR EN SAVOIR PLUS SUR NOS SOLUTIONS ADAPTÉES A VOS BESOINS.
