La sous-traitance RGPD se réfère à la pratique consistant à confier le traitement de certaines données personnelles à des tiers, et ce dans le respect des exigences du RGPD.
Pour que vous compreniez bien la portée du RGPD en matière de sous-traitance, faisons un point sur :
Le responsable de traitement est la personne physique ou morale qui détermine les finalités et les moyens de traitement.
Le sous-traitant est donc logiquement la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.
Concrètement, selon votre fonction, vous pouvez être tour à tour aussi bien responsable de traitement que sous-traitant.
Par exemple, vous êtes responsable de traitement si vous confiez les données personnelles de vos prospects à une agence de communication pour une campagne mailing. En effet, cette dernière traite les données ainsi confiées, en suivant vos instructions, dans le cadre de la mission que vous lui avez assignée.
Au contraire, vous pouvez être considéré comme un sous-traitant si vous êtes un logiciel SAAS de ressources humaines et que vous récupérez de cette façon les données que vos clients vous confient pour dresser des fiches de paie ou effectuer le suivi des entretiens.
Depuis l’entrée en vigueur du RGPD en 2018, vous devez protéger les données personnelles des individus concernés lors de leur collecte, leur traitement, leur archivage et leur suppression.
Dans cette logique, tous les acteurs impliqués dans le traitement des données personnelles sont responsables.
Le sous-traitant doit coopérer pleinement avec le responsable du traitement et l'assister dans le respect de ses obligations en matière de protection des données.
Cela implique de répondre aux demandes de renseignements du responsable de traitement, de fournir une aide lors des évaluations d'impact sur la protection des données et de coopérer le cas échéant avec les autorités de contrôle.
Des obligations spécifiques s’imposent aux sous-traitants (article 28 RGPD). Nous avons listé celles qui nécessitent le plus votre attention.
Conformément à l'article 28 du RGPD, les sous-traitants doivent traiter les données à caractère personnel uniquement sur instruction documentée du responsable de traitement.
Cela signifie qu'ils ne peuvent pas utiliser les données à d'autres fins que celles prévues par le responsable de traitement.
Les sous-traitants doivent mettre en œuvre les mesures de sécurité appropriées pour protéger les données à caractère personnel confiées par le responsable de traitement.
Cela inclut la mise en place de mesures techniques et organisationnelles : chiffrement des données, gestion des accès et des identités, contrôles d'accès physiques aux locaux où les données sont stockées, etc.
Un contrat est obligatoire pour encadrer la relation du sous-traitant avec le responsable de traitement : durée, nature et finalité du traitement, catégories de données à caractère personnel et catégories de personnes concernées.
Par ailleurs, la rédaction n’est pas libre : l’article 28.3 du RGPD liste les mentions obligatoires à faire apparaître et donne des exemples de clauses à insérer.
Les sous-traitants doivent respecter les exigences en matière de notification des violations de données.
En cas de violation de données à caractère personnel, les sous-traitants doivent informer immédiatement le responsable de traitement de la violation en lui fournissant tous les détails nécessaires pour lui permettre de remplir ses obligations auprès :
Les sous-traitants doivent supprimer ou retourner toutes les données au responsable de traitement à la fin de la prestation.
Ils ne peuvent conserver ou utiliser les données à caractère personnel que dans la mesure du nécessaire, notamment pour se conformer à leurs obligations légales.
Le sous-traitant doit faire remonter au responsable de traitement toute réclamation relative à l’exercice des droits (accès, rectification, limitation, etc.).
Le sous-traitant est parfois en première ligne lors d’une telle demande. Un process interne, fluide et bien sûr efficace, devra être mis en place pour traiter ce type de demande.
Enfin, les sous-traitants doivent coopérer avec l'autorité de contrôle, notamment en mettant à sa disposition toutes les informations nécessaires (comme la documentation) pour démontrer leur conformité avec les obligations du RGPD.
L'une des premières étapes pour assurer une gestion efficace des sous-traitants est de désigner un référent interne ou un DPO chargé de :
Un aspect fondamental de la conformité au RGPD est la conclusion d'un contrat entre le responsable du traitement et le sous-traitant, régissant les modalités de traitement des données personnelles.
Ce contrat, en vertu de l'article 28 du RGPD, doit contenir certaines clauses obligatoires, notamment celles relatives à la nature et à la finalité du traitement, aux mesures de sécurité à mettre en place, aux droits et obligations des parties, et aux conditions de recours à d'autres sous-traitants.
Notre conseil est d’utiliser un contrat de sous-traitante des données élaboré en concertation avec des avocats (nos avocats chez Bold par exemple).
Conformément au RGPD, les entreprises sont tenues de maintenir un registre des activités de traitement des données personnelles. Les informations à mettre à jour sont sensiblement analogues.
Si vous êtes responsable de traitement, documentez précisément les activités de traitement confiées à vos sous-traitants, en précisant notamment les finalités, les catégories de données personnelles traitées, les catégories de personnes concernées, les mesures de sécurité mises en place, ainsi que les éventuels transferts de données hors de l'Union européenne.
Si vous êtes sous-traitant, vous devez recenser toutes les catégories d'activités de traitement effectuées pour le compte du responsable de traitement : les coordonnées de ce dernier et celles des sous-traitants auxquels vous faites vous-même appel, les catégories de traitements, les transferts, les mesures de sécurité.
Le RGPD réglemente la sous-traitance en imposant un bon nombre d’obligations pour chacune des parties.
Vous êtes responsable de traitement ? Sous-traitant ? Les deux à la fois ? Faisons le point pour sécuriser vos relations contractuelles sur le sujet !
Une question ? Un besoin ponctuel ou récurrent ?
Nous contacter pour un accompagnementTéléchargez nos templates
Retrouvez tous les contrats et documents juridiques pour créer et développer votre entreprise en 2023.
