RGPD et sous-traitance

inovera-rgpd-sous_traitance

En tant que chef d’entreprise, vous pouvez être tenté de faire appel à un sous-traitant concernant la collecte et le traitement des données personnelles. Dans quel cadre pouvez-vous envisager cette collaboration ? À quelles règles obéit-elle ?

Traitement des données personnelles et RGPD : quelques rappels…

Pour mémoire, le RGPD définit les règles applicables au traitement de données personnelles par toute entreprise ou tout organisme privé ou public établi sur le territoire de l’Union-Européenne.

« Traitement de données personnelles » ?

On parle de « traitement de données personnelles » pour toute opération qui porte sur des données personnelles : il peut ainsi s’agir de leur enregistrement, de leur consultation mais aussi de leur conservation. 

Qu’est-ce qu’une donnée « personnelle » ?

Une donnée est dite « personnelle » dès lors qu’elle permet l’identification d’une personne de manière directe (par exemple par le biais de son nom ou de son prénom) ou indirecte (via la collecte de son numéro de client, de son numéro de téléphone, etc.).

Focus sur le « responsable » du traitement

La personne qui décide de la création du fichier de collecte de données, de ses finalités (c’est-à-dire ses buts) et de ses moyens est désignée comme la personne « responsable » du traitement. En pratique, il s’agit de l’entreprise elle-même, incarnée par son représentant légal.  

I. RGPD et sous-traitance : de quoi parle-t-on ?

Le principe

Toute entreprise qui se livre à la collecte et au traitement de données personnelles peut envisager d’avoir recours au service d’un sous-traitant dans le cadre de ces opérations. 

II. Sous-traitant : de qui s’agit-il ?

Dans le cadre du RGPD, un sous-traitant est une personne physique ou morale (de type société par exemple) qui, dans le cadre d’un service ou d’une prestation, traite des données à caractère personnel pour le compte d’un autre organisme (de type entreprise) identifié comme le « responsable du traitement ». 

Concrètement, peuvent être considérés comme des sous-traitants :  

  • - les prestataires de services informatiques (hébergement, maintenance, etc.) ;
  •  
  • - les sociétés de sécurité informatique ;
  •  
  • - les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients.


III. RGPD et sous-traitance : quels avantages ? 

D’abord, un gain de temps…

Faire appel à un sous-traitant va, par définition, vous permettre de déléguer un certain nombre de tâches liées à la collecte et au traitement des données personnelles de vos clients potentiels mais aussi, de vous en remettre à un professionnel en ce qui concerne le respect du RGPD. 

Ensuite, le bénéfice de conseils avisés

Le sous-traitant va aussi pouvoir vous dispenser de nombreux conseils dans le cadre du respect de la règlementation applicable en matière de protection des données personnelles à l’échelle européenne. Ce qui peut constituer un atout de taille, au vu du volume et de la complexité de celle-ci !

IV. RGPD et sous-traitance : quelles obligations ?

inovera-sous_traitance-obligations

 

Pensez aux clauses contractuelles types !

Pour faciliter la rédaction de ce contrat, vous pouvez envisager d’y insérer certaines clauses contractuelles types, établies par la Commission européenne ou la CNIL. 

Attention à ne pas modifier les clauses en question, sous peine de les voir perdre leur conformité à la règlementation applicable. Notez qu’il est toutefois possible d’y apporter des garanties supplémentaires, dès lors que celles-ci n’entrent pas en contradiction avec le contenu de la clause concernée.

RGPD et sous-traitance : qui respecte quoi ?

La mise en place d’un contrat de sous-traitance ne vous exonère pas de toute obligation au regard du RGPD : en effet, vous demeurez tenu, en tant que responsable du traitement réalisé et à l’instar du sous-traitant lui-même, au respect de la règlementation applicable. Avec quelques subtilités cependant…

Quelles obligations pour le responsable de traitement ?

En tant que responsable du traitement des données personnelles, l’entreprise qui fait appel à un sous-traitant est tenue au respect de diverses obligations, parmi lesquelles : 

  • - s’assurer que son sous-traitant respecte le RGPD :

    •      - via la consultation des informations que celui-ci met à sa disposition ;

    •      - via la réalisation d’audits en vue de superviser le traitement des données personnelles réalisé ;
  • - documenter ses instructions par écrit, afin que celles-ci soient établies avec suffisamment de clarté pour permettre au sous-traitant d’en prendre connaissance et d’en déterminer la portée.

Quelles obligations pour le sous-traitant ?

De son côté, le sous-traitant est également tenu au respect de diverses mesures, dont celles : 

  • - de conclure un contrat de sous-traitance avec le responsable de traitement ;

  • - de recenser les instructions du responsable de traitement et d’alerter celui-ci si leur contenu lui semble susceptible de constituer une    violation du RGPD ;

  • - de tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement ;

  • - de tenir à la disposition du responsable de traitement toutes les informations qu’il estime nécessaires pour démontrer qu’il respecte
  •   la règlementation applicable ;
  •  
  • - d’offrir des garanties suffisantes au vu de la règlementation RGPD, notamment en ce qui concerne les outils qu’il utilise ;
  •  
  • - de remplir un rôle d’assistance et de conseil à l’égard du responsable de traitement, et notamment :
  •  
    •      - de l’assister si celui-ci se voit reprocher une violation de la règlementation ;

    •      - de l’aider à répondre aux demandes des personnes dont les données sont traitées
    •        (notamment en ce qui concerne leur droit d’accès, d’effacement, de rectification ou de portabilité de leurs données).

Focus sur la sécurité

Le sous-traitant est également tenu :

  • - de garantir la sécurité des données traitées pour le compte du responsable de traitement ;

  • - de s’assurer de la confidentialité de ses propres employés à l’égard des données qu’il collecte et traite pour le compte du responsable de traitement.

Le cas du sous-traitant qui sous-traite…

Le sous-traitant peut envisager de sous-traiter ses propres activités effectuées pour le compte du responsable de traitement.

Dans un tel cas, il a l’obligation d’obtenir l’autorisation préalable du responsable de traitement (que celle-ci soit générale ou spéciale) mais aussi de tenir à jour une liste des sous-traitants auxquels il fait appel. 

En conclusion 

Pour résumer, faire appel à un sous-traitant dans le cadre du traitement de données personnelles peut constituer une décision judicieuse, à différents points de vue. Il est toutefois nécessaire de l’anticiper avec soin pour comprendre, avec précision, vos obligations et les siennes. 

 

Sources : 

  • - Règlement général sur la protection des données
  • - Site de la CNIL