Mon prestataire SIRH est-il responsable de traitement ou sous-traitant ?
Réponse courte
Le responsable de traitement est l'entité qui détermine les finalités et les moyens du traitement de données personnelles (article 4.7 du RGPD). Le sous-traitant est celui qui traite les données pour le compte du responsable, sur instructions (article 4.8 du RGPD). En contexte RH, l'employeur est presque toujours responsable de ses traitements.
Les prestataires externes (SIRH, paie, recrutement, formation) sont généralement sous-traitants. Leur relation doit être encadrée par un contrat écrit comportant les clauses obligatoires de l'article 28 du RGPD. La qualification est juridiquement déterminante car elle conditionne la répartition des obligations et des responsabilités.
Définition
Le responsable de traitement est la personne physique ou morale qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. Le sous-traitant traite des données personnelles pour le compte du responsable. La qualification dépend du pouvoir décisionnel réel et non de la formulation contractuelle. Certaines situations donnent lieu à une responsabilité conjointe (article 26 RGPD), lorsque deux entités définissent ensemble les finalités et les moyens.
Conditions d’exercice
Est responsable de traitement celui qui détermine finalités et moyens ; est sous-traitant celui qui exécute pour le compte du responsable sur instructions documentées (art. 4.7 et 4.8 RGPD).
| Critère | Responsable | Sous-traitant |
|---|---|---|
| Finalité | Décide | Exécute |
| Moyens | Détermine | Met en œuvre sur instruction |
| Durée de conservation | Fixe | Applique |
| Choix des outils | Arrête | Propose |
| Rapport aux personnes | Direct | Indirect, via le responsable |
| Obligation CNPD | Notification, registre | Registre sous-traitant |
| Relation juridique | Responsabilité principale | Responsabilité subordonnée |
Modalités pratiques
Après analyse du rôle réel du prestataire, l'employeur rédige un contrat article 28 RGPD intégrant objet, durée, nature, instructions documentées, droit d'audit et sort des données en fin de contrat.
| Étape | Détail |
|---|---|
| Analyse du rôle | Examen des pouvoirs réels de chaque partie |
| Contrat art. 28 | Rédaction des clauses obligatoires |
| Clauses minimales | Objet, durée, nature, obligations, sécurité |
| Instructions documentées | Écrites et tracées |
| Autorisations | Accord préalable pour toute sous-traitance ultérieure |
| Audit | Droit de vérification du responsable |
| Fin de contrat | Restitution ou destruction des données |
Pratiques et recommandations
Qualifier systématiquement chaque relation contractuelle en analysant le pouvoir de décision réel sur les finalités et les moyens, indépendamment des clauses contractuelles affichées.
Intégrer les clauses obligatoires de l'article 28 du RGPD dans tout contrat avec un prestataire ayant accès à des données RH : objet, durée, nature, obligations, sécurité, sort des données en fin de contrat.
Documenter les instructions données au sous-traitant par écrit et conserver les échanges pour démontrer la maîtrise du traitement par le responsable.
Vérifier régulièrement la conformité du sous-traitant par des audits ou des questionnaires de sécurité, notamment lorsque des données sensibles sont concernées.
Anticiper la fin de contrat en prévoyant contractuellement la restitution ou la destruction des données, avec remise d'une attestation par le sous-traitant.
Cadre juridique
Plusieurs articles du RGPD structurent la distinction.
| Référence | Objet |
|---|---|
| Règlement UE 2016/679 (RGPD) | Protection des données personnelles |
| Art. 4.7 RGPD | Définition du responsable de traitement |
| Art. 4.8 RGPD | Définition du sous-traitant |
| Art. 24 RGPD | Responsabilité du responsable |
| Art. 26 RGPD | Responsabilité conjointe |
| Art. 28 RGPD | Obligations du sous-traitant |
| Art. 29 RGPD | Traitement sous l'autorité du responsable |
| Art. 30 RGPD | Registre des traitements |
| Loi du 1er août 2018 | Mise en œuvre du RGPD au Luxembourg |
Note
Une qualification erronée peut engager la responsabilité de l'entreprise au-delà de ce qu'elle anticipait. Un prestataire désigné comme sous-traitant peut être requalifié en responsable conjoint s'il dispose d'une marge de décision sur les finalités. La CNPD examine le pouvoir réel et non les simples qualifications contractuelles.