Répartition des responsabilités entre responsable de traitement et sous‑traitant – Solutions techniques et organisationnelles adéquates – Responsabilité du sous‑traitant – Existence

Si, aux termes de l’article 32 du RGPD, les obligations en matière de sécurité des traitements de données à caractère personnel s’adressent tant au responsable de traitement qu’au sous‑traitant, la répartition des responsabilités entre ces deux acteurs résulte également du contrat de sous‑traitance qu’ils doivent conclure au titre de l’article 28 du RGPD. En ce sens, l’article 28‑3‑f impose que ce contrat prévoit que le sous‑traitant « aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous‑traitant ». La CNIL déduit de la combinaison de ces dispositions qu’il revient au sous‑traitant de proposer au responsable de traitement les solutions techniques et organisationnelles adéquates, notamment en ce qui concerne la sécurité des traitements, et ce, indépendamment des obligations qui pèsent en propre sur le responsable du traitement.