Une entreprise peut-elle sous-traiter la gestion de la vidéosurveillance ?
Réponse courte
Une entreprise peut sous-traiter la gestion de sa vidéosurveillance au Luxembourg (installation, maintenance, supervision, stockage cloud), à condition d'encadrer la relation par un contrat article 28 RGPD détaillant les obligations du sous-traitant en matière de sécurité, de confidentialité et de notification d'incidents. L'employeur reste responsable de traitement : la sous-traitance ne transfère pas la responsabilité légale.
L'entreprise doit consulter la délégation du personnel (L.414-9), réaliser une AIPD si risque élevé, vérifier les garanties techniques du prestataire et inscrire le sous-traitant au registre des traitements. Toute opération du prestataire ne peut intervenir que sur instruction documentée du responsable, et les images se conservent 8 jours en principe, 30 jours maximum avec justification écrite.
Définition
La sous-traitance de la vidéosurveillance désigne le fait, pour une entreprise, de confier à un prestataire externe tout ou partie des opérations liées à l'installation, la maintenance, l'exploitation, la supervision en temps réel ou le stockage des images de vidéosurveillance.
Le prestataire agit alors comme sous-traitant au sens de l'article 28 du RGPD : il traite des données pour le compte du responsable de traitement (l'employeur), qui demeure seul tenu vis-à-vis des autorités et des salariés.
Questions fréquentes
Conditions d’exercice
La sous-traitance ne dispense l'employeur d'aucune obligation : il reste responsable de traitement et doit pouvoir démontrer la conformité du prestataire à tout moment.
| Condition | Exigence |
|---|---|
| Contrat article 28 RGPD | Écrit obligatoire précisant objet, durée, finalités, données, instructions, sécurité |
| Garanties suffisantes | Sélection d'un prestataire offrant des garanties techniques et organisationnelles documentées |
| Instruction documentée | Sous-traitant agissant uniquement sur consigne écrite de l'employeur |
| Sous-traitance en cascade | Autorisation écrite préalable obligatoire pour tout sous-traitant ultérieur |
| Notification d'incident | Obligation de notifier sans délai toute violation de données à l'employeur |
| Consultation délégation | Co-décision de la délégation du personnel (L.414-9) avant déploiement |
Modalités pratiques
La localisation des serveurs de stockage doit être documentée ; un hébergement hors UE impose des garanties supplémentaires (clauses contractuelles types, décision d'adéquation) sous peine d'illicéité du transfert.
| Démarche | Précision |
|---|---|
| Contrat de sous-traitance | Article 28 RGPD : objet, durée, instructions, sécurité, restitution, audit, confidentialité |
| AIPD | Obligatoire pour les dispositifs à risque élevé (article 35 RGPD) |
| Inscription au registre | Identification du sous-traitant, finalités, durées dans le registre des traitements |
| Habilitations restreintes | Liste nominative des préposés du prestataire ayant accès aux images |
| Conservation | 8 jours en principe, 30 jours maximum avec justification documentée |
| Localisation des serveurs | Documentation de l'hébergement ; garanties RGPD pour hors UE |
| Audit du prestataire | Droit d'audit prévu au contrat et exercé périodiquement |
Pratiques et recommandations
Sélectionner un prestataire disposant de certifications de sécurité (ISO 27001, SecNumCloud) et d'une expérience luxembourgeoise.
Encadrer la mission par un contrat article 28 RGPD précis listant les instructions et les mesures de sécurité.
Vérifier la localisation des serveurs et exclure tout hébergement non conforme au RGPD pour les transferts.
Auditer régulièrement le prestataire et tracer les rapports d'audit dans le dossier de conformité.
Limiter le nombre de préposés du sous-traitant ayant accès aux images via une habilitation restrictive.
Informer la délégation du personnel des modalités de sous-traitance et de la chaîne de responsabilité.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Traitement de données pour surveillance des salariés (loi du 1er août 2018) |
| Art. L.414-9 du Code du travail | Co-décision de la délégation du personnel pour les installations de contrôle |
| Loi modifiée du 1er août 2018 | Protection des personnes à l'égard du traitement des données à caractère personnel |
| Règlement (UE) 2016/679 (RGPD) | Articles 28 (sous-traitance), 32 (sécurité), 33-34 (notification), 35 (AIPD) |
| Lignes directrices CNPD | Recommandations sur la sous-traitance et la vidéosurveillance |
| Lignes directrices EDPB 07/2020 | Notion de responsable et de sous-traitant |
Note
L'employeur reste pleinement responsable même en cas de sous-traitance : un manquement du prestataire engage sa responsabilité administrative, civile et pénale. Un contrat article 28 incomplet ou absent est en soi une violation du RGPD susceptible de sanction administrative jusqu'à 10 millions € ou 2 % du CA mondial.