500 000€ d’amende pour un sous-traitant qui a fait appel à des sous-traitants ultérieurs sans autorisation
L’Autorité espagnole de protection des données (AEPD) a infligé en avril 2025 une amende de 500.000 € à un hôpital agissant en tant que sous-traitant pour avoir engagé plusieurs sous-traitants ultérieurs sans avoir obtenu l’autorisation préalable du Responsable de traitement.
Or, le RGPD stipule à l’article 28, §2 que :
« Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous- traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements. »
En l’espèce, l’hôpital (Sous-traitant) fournissait des services au ministère de la Santé et de la Santé publique de Valence (Responsable de traitement).
Lors d’un audit, il a été découvert que le Sous-traitant utilisait des logiciels tiers sans autorisation.
Malgré un rappel à l’ordre du Responsable de traitement, assorti d’une interdiction de recourir à des sous-traitants ultérieurs sans accord préalable, l’hôpital a continué à faire appel à des prestataires tiers.
Face au refus de l’établissement de transmettre les contrats relatifs à ces prestataires, le ministère de la Santé de Valence a saisi l’AEPD qui a conclu à une violation de l’art.28, §2 du RGPD et infligé une amende de 500 000€ au sous-traitant.
Rappel des rôles
Dans le contexte du RGPD, le Responsable de traitement est celui qui détermine les finalités et les moyens du traitement, autrement dit, il décide du pourquoi et du comment les données sont utilisées.
Le Sous-traitant quant à lui, intervient uniquement pour le compte du Responsable de traitement et ne peut agir que sur instruction de dernier.
La sous-traitance consiste donc pour entreprise (appelée Responsable de traitement) à faire appel à une autre (le Sous-traitant) pour réaliser certaines tâches pour elle (par exemple héberger des données, fournir un service informatique, gérer l’envoi de newsletter, ou encore analyser des données de comportements d’achats de clients).
Lorsque ce Sous-traitant délègue à son tour une partie de la tâche à un tiers, ce dernier est qualifié de Sous-traitant ultérieur.
Our advice:
- Responsables de traitement :
Formalisez vos relations avec vos sous-traitants vis une convention de sous-traitance (appelée en anglais Data Processing Agreement – DPA).
Précisez y si vous autorisez ou non le recours à des sous-traitants ultérieurs, en indiquant si cette autorisation est spécifique ou générale.
Pensez également à réaliser des audits réguliers pour vous assurer que vos sous-traitants respectent bien leurs obligations contractuelles et les règles en matière de protection des données.
- Sous-traitants :
Pensez à lister tous les sous-traitants ultérieurs auxquels vous faites appel au moment de la conclusion du contrat afin d’éviter toute discussion.
Vérifiez, en cas de modification d’un sous-traitant ultérieur, quelles sont les formalités exigées par chacun des Responsables du traitement pour lesquels vous intervenez.
Si vous avez des questions, si vous souhaitez être accompagnés pour la rédaction de vos contrats de sous-traitance ou en cas d’enquête de l’APD, notre équipe est à votre disposition pour vous conseiller. N’hésitez pas à nous contacter et à consulter nos ressources disponibles en cliquant ici.
