Cabinet d'Avocats de droit des affaires

EN

RGPD : la responsabilité des sous-traitants pour manquement à la sécurité des données personnelles

Brève - Contrat, concurrence, PI - Mars 2018

RGPD : la responsabilité des sous-traitants pour manquement à la sécurité des données personnelles

Sécuriser vos actifs
Publiée le 19 mars 2018
Selon la loi Informatique et Liberté, la sécurité des données personnelles incombe au responsable du traitement, même en cas de sous-traitance. Cette disposition se révèle difficile d’application tant l’externalisation du stockage des données est aujourd’hui monnaie courante.

Lorsque le responsable du traitement des données recourt à un sous-traitant, l’article 34 de la loi Informatique et Liberté dispose que si « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité […] cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures ». 

La violation de cette obligation de sécurisation est passible de sanctions pénales et administratives. La CNIL inflige ainsi des sanctions aux responsables de traitement non seulement pour leurs propres fautes, mais également lorsqu’elles ont recours à des sous-traitants. Plus encore, la CNIL sanctionne parfois des responsables de traitement pour des manquements à la sécurité commis exclusivement par leurs sous-traitants. 

En pratique, les responsables du traitement sont tenus de vérifier les garanties présentées par le sous-traitant et de prévoir une clause relative à la sécurité et à la confidentialité des données dans le contrat de sous-traitance. 

Le nouveau règlement européen RGPD, applicable à compter du 25 mai prochain, vient bousculer ces règles. 

En effet, l’article 82 du règlement dispose désormais que le responsable du traitement peut se dégager entièrement ou partiellement de sa responsabilité vis-à-vis des tiers lorsqu’il démontre que cette responsabilité incombe à son sous-traitant. 

Le sous-traitant sera donc tenu responsable du dommage causé par le traitement lorsqu’il : 

  • n’aura pas respecté les obligations prévues par le règlement et qui lui incombent spécifiquement ; ou
  • aura agi en dehors des instructions du responsable du traitement ou contrairement à celles-ci. 

 

À noter toutefois que la personne en charge du traitement reste responsable des éventuelles violations du règlement, même si elles n’ont occasionné aucun préjudice. Sur ce point, la situation demeure donc identique : les responsables du traitement sont tenus de vérifier les garanties présentées par le sous-traitant et de mettre en place un contrat dont les dispositions sont conformes au RGPD. 

Actualités en rapport

Une acquisition « prédatrice » de Doctolib sanctionnée pour abus de position dominante : vers une (r)évolution du contrôle des concentrations ?

Publiée le 04 décembre 2025
Pour la première fois en France, l’Autorité de la Concurrence (« Autorité ») inflige une amende de 50.000€ à la société Doctolib pour avoir abusé de sa position dominante en rachetant son principal concurrent, la société MonDocteur, en 2018.
Lire la suite

Data Act & Editeurs SaaS – Portabilité, Compétitivité et Enjeux pour le modèle SaaS

Publiée le 17 octobre 2025
Depuis le 12 septembre 2025, le Data Act s’applique pleinement. Cette réglementation européenne transforme en profondeur le marché du cloud (SaaS, IaaS, PaaS) en facilitant le changement de fournisseur et en imposant davantage de transparence contractuelle sur les processus de portabilité et de réversibilité.
Lire la suite

Allégations environnementales et greenwashing : contrôles, sanctions et bientôt de nouvelles obligations pour les professionnels

Publiée le 15 octobre 2025
Les allégations environnementales sont désormais sous haute surveillance. Alors que la DGCCRF multiplie les contrôles et les sanctions, la transposition à venir de la directive « Green Claims » doit encore renforcer le cadre juridique applicable à la lutte contre le greenwashing, et ce dès 2026.
Lire la suite
Voir toutes actualites
PreviousNext

Nous contacter

Vous souhaitez plus d’informations sur LAMY LEXEL ? Prendre un RDV ? Aidez-nous à vous apporter la meilleure réponse en remplissant ce formulaire. Nous nous engageons à vous répondre dans les plus brefs délais.

Les données personnelles collectées dans le présent formulaire et traitées par la société LAMY LEXEL Avocats Associés sont nécessaires aux fins de traiter et de suivre votre demande de contact, notamment pour une prise de rendez-vous, pour vous adresser nos newsletters ou vous inviter aux événements que nous pouvons organiser. Ces données ne sont destinées qu’aux services compétents de LAMY LEXEL intervenant dans le cadre du traitement de cette demande. Vous disposez des droits d’en demander l’accès, la rectification, l’effacement, une limitation ou opposition au traitement, la portabilité de ses données ou d’introduire une réclamation ou des directives post mortem en contactant le service dédié à l’adresse suivante contactrgpd@lamy-lexel.com

INSCRIVEZ-VOUS A NOS NEWSLETTERS SUR L'ACTUALITÉ JURIDIQUE
NOUS SUIVRE

À PROPOS DE NOUS

LAMY LEXEL Avocats Associés est un cabinet d’avocats d’affaires indépendant, mettant une combinaison d’expertises au service de la réalisation des projets de développement des entreprises françaises et internationales (start-ups, PME/PMI, ETI, groupe de sociétés), notamment :

corporate, bourse, finance, fiscalité, patrimoine, social, contrat, concurrence, propriété intellectuelle, international, contentieux, restructuring…

Porté par un fort esprit d’innovation et d’entrepreneuriat, nos équipes allient excellence technique et expérience du terrain, permettant :

  • d’adapter les solutions juridiques aux enjeux des sociétés et de leurs secteurs d’activité

  • d’investiguer de nouveaux champs du droit pour être en capacité d’anticiper les évolutions

  • de réunir des partenaires fiables aux métiers complémentaires pour une réponse complète

  • d’enrichir les connaissances et pratiques de chacun à travers la Communauté LAMY LEXEL.

LAMY LEXEL met aussi la RSE au cœur de ses projets d’entreprises, en s’engageant auprès de son écosystème local, qu’il soit économique, environnemental ou solidaire.

 

RESTER EN CONTACT

Bureaux PARIS

+33 1 55 27 24 00

5 rue de Rome – 75008 Paris

Bureaux LYON

+33 4 72 74 53 00

Immeuble La Passerelle - 25 rue Bossuet - 69453 Lyon Cedex 06