500 000€ d’amende pour un sous-traitant qui a fait appel à des sous-traitants ultérieurs sans autorisation
L’Autorité espagnole de protection des données (AEPD) a infligé en avril 2025 une amende de 500.000 € à un hôpital agissant en tant que sous-traitant pour avoir engagé plusieurs sous-traitants ultérieurs sans avoir obtenu l’autorisation préalable du Responsable de traitement.
Or, le RGPD stipule à l’article 28, §2 que :
« Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous- traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements. »
En l’espèce, l’hôpital (Sous-traitant) fournissait des services au ministère de la Santé et de la Santé publique de Valence (Responsable de traitement).
Lors d’un audit, il a été découvert que le Sous-traitant utilisait des logiciels tiers sans autorisation.
Malgré un rappel à l’ordre du Responsable de traitement, assorti d’une interdiction de recourir à des sous-traitants ultérieurs sans accord préalable, l’hôpital a continué à faire appel à des prestataires tiers.
Face au refus de l’établissement de transmettre les contrats relatifs à ces prestataires, le ministère de la Santé de Valence a saisi l’AEPD qui a conclu à une violation de l’art.28, §2 du RGPD et infligé une amende de 500 000€ au sous-traitant.
Rappel des rôles
Dans le contexte du RGPD, le Responsable de traitement est celui qui détermine les finalités et les moyens du traitement, autrement dit, il décide du pourquoi et du comment les données sont utilisées.
Le Sous-traitant quant à lui, intervient uniquement pour le compte du Responsable de traitement et ne peut agir que sur instruction de dernier.
La sous-traitance consiste donc pour entreprise (appelée Responsable de traitement) à faire appel à une autre (le Sous-traitant) pour réaliser certaines tâches pour elle (par exemple héberger des données, fournir un service informatique, gérer l’envoi de newsletter, ou encore analyser des données de comportements d’achats de clients).
Lorsque ce Sous-traitant délègue à son tour une partie de la tâche à un tiers, ce dernier est qualifié de Sous-traitant ultérieur.
