Blog
Sous-traitance et RGPD : Comment protéger les données de votre entreprise
5 mins

Sous-traitance et RGPD : Comment protéger les données de votre entreprise

Publié le
23/4/24

La sous-traitance RGPD se réfère à la pratique consistant à confier le traitement de certaines données personnelles à des tiers, et ce dans le respect des exigences du RGPD. 

Pour que vous compreniez bien la portée du RGPD en matière de sous-traitance, faisons un point sur : 

  • le rôle et les responsabilités du sous-traitant ;
  • les obligations imposées par le RGPD ;
  • les meilleures pratiques à mettre en place.

Sous-traitant : définition selon le RGPD

Distinction responsable de traitement et sous-traitant

Le responsable de traitement est la personne physique ou morale qui détermine les finalités et les moyens de traitement.

Le sous-traitant est donc logiquement la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.

Concrètement, selon votre fonction, vous pouvez être tour à tour aussi bien responsable de traitement que sous-traitant.

Par exemple, vous êtes responsable de traitement si vous confiez les données personnelles de vos prospects  à une agence de communication pour une campagne mailing. En effet, cette dernière traite les données ainsi confiées, en suivant vos instructions, dans le cadre de la mission que vous lui avez assignée.

Au contraire, vous pouvez être considéré comme un sous-traitant si vous êtes un logiciel SAAS de ressources humaines et que vous récupérez de cette façon les données que vos clients vous confient pour dresser des fiches de paie ou effectuer le suivi des entretiens.

Responsabilisation du sous-traitant

Depuis l’entrée en vigueur du RGPD en 2018, vous devez protéger les données personnelles des individus concernés lors de leur collecte, leur traitement, leur archivage et leur suppression. 

Dans cette logique, tous les acteurs impliqués dans le traitement des données personnelles sont responsables.

Le sous-traitant doit coopérer pleinement avec le responsable du traitement et l'assister dans le respect de ses obligations en matière de protection des données. 

Cela implique de répondre aux demandes de renseignements du responsable de traitement, de fournir une aide lors des évaluations d'impact sur la protection des données et de coopérer le cas échéant avec les autorités de contrôle.

Les obligations du sous-traitant 

Des obligations spécifiques s’imposent aux sous-traitants (article 28 RGPD). Nous avons listé celles qui nécessitent le plus votre attention.

Obligation n°1 : traiter les données personnelles uniquement sur instruction

Conformément à l'article 28 du RGPD, les sous-traitants doivent traiter les données à caractère personnel uniquement sur instruction documentée du responsable de traitement

Cela signifie qu'ils ne peuvent pas utiliser les données à d'autres fins que celles prévues par le responsable de traitement. 

Obligation n°2 : mettre en oeuvre les mesures de sécurité appropriées 

Les sous-traitants doivent mettre en œuvre les mesures de sécurité appropriées pour protéger les données à caractère personnel confiées par le responsable de traitement.

Cela inclut la mise en place de mesures techniques et organisationnelles : chiffrement des données, gestion des accès et des identités, contrôles d'accès physiques aux locaux où les données sont stockées, etc.

Obligation n°3 : établir un contrat clair et sécurisant

Un contrat est obligatoire pour encadrer la relation du sous-traitant avec le responsable de traitement : durée, nature et finalité du traitement, catégories de données à caractère personnel et catégories de personnes concernées.

Par ailleurs, la rédaction n’est pas libre : l’article 28.3 du RGPD liste les mentions obligatoires à faire apparaître et donne des exemples de clauses à insérer.

Obligation n°4 : notifier les violations de données

Les sous-traitants doivent respecter les exigences en matière de notification des violations de données.

En cas de violation de données à caractère personnel, les sous-traitants doivent informer immédiatement le responsable de traitement de la violation en lui fournissant tous les détails nécessaires pour lui permettre de remplir ses obligations auprès : 

  • des autorités de contrôle ;
  • des personnes dont les données ont été atteintes dans leur intégrité.

Obligation n°5 : supprimer les données à la fin du traitement 

Les sous-traitants doivent supprimer ou retourner toutes les données au responsable de traitement à la fin de la prestation.

Ils ne peuvent conserver ou utiliser les données à caractère personnel que dans la mesure du nécessaire, notamment pour se conformer à leurs obligations légales.

Obligation n°5 :  aider dans l’exercice des droits

Le sous-traitant doit faire remonter au responsable de traitement toute réclamation relative à l’exercice des droits (accès, rectification, limitation, etc.).

Le sous-traitant est parfois en première ligne lors d’une telle demande. Un process interne, fluide et bien sûr efficace, devra être mis en place pour traiter ce type de demande.

Obligation n°6 : coopérer avec l’autorité de contrôle 

Enfin, les sous-traitants doivent coopérer avec l'autorité de contrôle, notamment en mettant à sa disposition toutes les informations nécessaires (comme la documentation) pour démontrer leur conformité avec les obligations du RGPD. 

Sous-traitance RGPD : nos conseils pratiques

Désigner un référent ou un DPO

L'une des premières étapes pour assurer une gestion efficace des sous-traitants est de désigner un référent interne ou un DPO chargé de : 

  • vérifier la conformité des sous-traitants et plus particulièrement les garanties techniques et organisationnelles mises en place pour sécuriser les données confiées ;

  •  de superviser les relations avec ces derniers en matière de RGPD en veillant à être informé des demandes d’exercices de droits ou du recours éventuel à d’autres tiers (eux-mêmes sous-traitants du sous-traitant).

Rédiger un contrat de sous-traitance type

Un aspect fondamental de la conformité au RGPD est la conclusion d'un contrat entre le responsable du traitement et le sous-traitant, régissant les modalités de traitement des données personnelles. 

Ce contrat, en vertu de l'article 28 du RGPD, doit contenir certaines clauses obligatoires, notamment celles relatives à la nature et à la finalité du traitement, aux mesures de sécurité à mettre en place, aux droits et obligations des parties, et aux conditions de recours à d'autres sous-traitants. 

Notre conseil est d’utiliser un contrat de sous-traitante des données élaboré en concertation avec des avocats (nos avocats chez Bold par exemple).

Documenter avec un registre de traitements

Conformément au RGPD, les entreprises sont tenues de maintenir un registre des activités de traitement des données personnelles. Les informations à mettre à jour sont sensiblement analogues.

Si vous êtes responsable de traitement, documentez précisément les activités de traitement confiées à vos sous-traitants, en précisant notamment les finalités, les catégories de données personnelles traitées, les catégories de personnes concernées, les mesures de sécurité mises en place, ainsi que les éventuels transferts de données hors de l'Union européenne. 

Si vous êtes sous-traitant,  vous devez recenser toutes les catégories d'activités de traitement effectuées pour le compte du responsable de traitement : les coordonnées de ce dernier et celles des sous-traitants auxquels vous faites vous-même appel, les catégories de traitements, les transferts, les mesures de sécurité.

Conclusion

Le RGPD réglemente la sous-traitance en imposant un bon nombre d’obligations pour chacune des parties.

Vous êtes responsable de traitement ? Sous-traitant ? Les deux à la fois ? Faisons le point pour sécuriser vos relations contractuelles sur le sujet !

L'abonnement juridique illimité pour les entrepreneurs

Fonds publics, conflit d'associés, mise en conformité RGPD, M&A, contentieux : découvrez toutes nos offres conçues pour les startups.