RGPD : Les obligations des sous-traitants de données personnelles

A l'issue de la lecture de cet article, vous connaitrez :

• L'importance de sécuriser la relation avec vos sous-traitants

• Les obligations de votre sous-traitant de données personnelles

• Que faire si votre sous-traitant n'est pas conforme

Pourquoi la relation avec vos sous-traitants de données personnelles doit elle être sécurisée ?

Le sous-traitant est l'organisme qui traite des données pour le compte d’un responsable de traitement, dans le cadre d’un service ou d’une prestation.

Si vous êtes responsable de traitement, peuvent être des sous-traitants de données personnelles :

- Votre expert-comptable

- Votre prestataire informatique

- Votre éditeur de logiciel en mode Saas (CRM, ERP, SIRH...)

- Votre hébergeur de données

Dans ce cas, vous vous affichez comme responsable du traitement des données auprès des personnes concernées et vous confiez à des tiers - les sous-traitants de données personnelles - le traitement de ces données.

Alors que vous avez sûrement pris des engagements de confidentialité ou de protection des données auprès de ces personnes.

👉Il est donc indispensable de vérifier les engagements des sous-traitants et de les formaliser par écrit.

Quelles sont les obligations auxquelles est soumis un sous-traitant de données personnelles ?

Les sous-traitants ont des obligations concernant les données personnelles, qui doivent être présentes dans le contrat :

1️⃣ Une obligation de transparence et de traçabilité

Votre sous-traitant doit mettre à votre disposition toutes les informations nécessaires au respect de ses obligations.

L'élément clé est le contrat qui vous lie à votre sous-traitant, celui-ci doit être clair et contenir toutes les mentions obligatoires (finalités, durée du traitement, mesures de sécurité, catégories de données personnelles sous-traitées, catégories des personnes concernées...).

Cette obligation de transparence et de traçabilité passe également par la tenue d'un registre de activités de traitement du sous-traitant ou la réalisation d'audit.

Le responsable de traitement peut légitimement demander à consulter ces documents.

2️⃣ La prise en compte des principes de protection des données dès la

conception et par défaut

Ces deux notions du RGPD sont fondamentales et traduisent les concepts de :

- Privacy by design (protection des données la conception) : les enjeux de protection de la vie privée sont pris en compte dès la phase de conception du produit ou du service.

- Privacy by default (protection des données par défaut) : le produit ou service, applique même en l’absence de choix de l'utilisateur, le plus haut niveau de protection des données personnelles et en limite la collecte.

Le sous-traitant est soumis à l'obligation d'appliquer ces principes et doit vous le prouver.

Par exemple, vous pouvez vérifier que votre sous-traitant ne collecte que des données qui sont strictement nécessaires au traitement, qu'il gère les habilitations et les droits d'accès informatique en fonction de la sensibilité de la donnée, qu'il purge régulièrement les bases de données après un certain temps...

3️⃣ Une obligation de garantir la sécurité des données traitées

Si votre sous-traitant est soumis à une obligation de sécurité, celle-ci peut prendre différentes formes.

- La sécurité juridique : par la présence d’un contrat pour encadrer une sous-traitance

- La sécurité technique : l'ensemble des mesures permettant de sécuriser un système d'information (authentification, chiffrement des données, journalisation des traces...)

- La sécurité organisationnelle : l'ensemble des mesures annexes mis en place pour la sécurité des données (formation des employés, mise en place de procédure...)

A minima, vous devez vous assurer que les personnes en charge de traiter les données personnelles pour votre compte, s'engagent à garder confidentielles les informations auxquelles ils ont accès dans le cadre de leur mission.

Par exemple, vous pouvez aussi demander à votre sous-traitant de vous fournir sa politique de sécurité des systèmes d'information pour avoir une idée du niveau de sécurité de leur infrastructure informatique.

4️⃣ Une obligation d’assistance, d’alerte et de conseil

Cette obligation porte sur plusieurs éléments :

1. Obligation de vous informer dans les plus brefs délais en cas de violation de données.

2. Si une personne exerce ses droits RGPD que ce soit auprès du sous-traitant ou du responsable de traitement, votre sous-traitant doit vous aider à répondre au mieux à cette demande.

3. Obligation d'assistance et de conseil dans la réalisation de vos AIPD (pour en savoir plus à ce sujet, notre article)

5️⃣ Une obligation de garantir une chaine de sous-traitance respectueuse du

RGPD

Par principe votre sous-traitant ne peut recruter un autre sous-traitant que sur autorisation écrite du responsable du traitement. Alors, si celui-ci veut à son tour faire appel à un sous-traitant ou changer de sous-traitant (par exemple son hébergeur de données), il doit vous en informer.

Le sous-traitant ultérieur doit respecter les mêmes obligations et présenter des garanties suffisantes au regard du RGPD.

6️⃣ Une obligation de suppression / rapatriement des données à la fin de la

sous-traitance

Une fois la sous-traitance terminée, le sous-traitant doit supprimer l'ensemble des données qui ont été transmises ou vous les remettre avant d'effacer les copies éventuelles.

Le sort des données finales doit être discuté et négocié entre le responsable de traitement et le sous-traitant au moment de la rédaction du contrat et y être intégré.

7️⃣ Une obligation de désigner un DPO

Cette obligation de désignation d'un DPO ne repose pas sur toutes les structures avec la même intensité. Pour certains la désignation d'un DPO est obligatoire, pour d'autres c'est une vive recommandation.

Pour autant, la présence d'un DPO chez votre sous-traitant est un bon signe de compliance.

Pour savoir si votre sous-traitant a désigné un DPO vous pouvez :

- Regarder dans votre contrat, l'identité et les coordonnées seront mentionnées

- Regarder la liste des DPO désignés auprès de la CNIL disponible sur le site de la CNIL

Mon sous-traitant n'est pas conforme, que faire ?

Si à la lecture de cet article vous vous êtes rendu compte que votre sous-traitant ne respecte pas toutes ses obligations :

La première à chose à faire sera de le contacter (ou son DPO s’il en a désigné un) pour engager une discussion sur leur niveau de déploiement d'une conformité RGPD.

Vous devrez par la suite signer un avenant RGPD avec lui (la CNIL met à disposition sur son site internet un modèle d'avenant, disponible à la fin du "Guide du sous-traitant" téléchargeable ci-dessous).

Si le sous-traitant est difficilement joignable (c'est souvent le cas pour les plus grandes entreprises - Google, Microsoft...), nous vous conseillons de vous tourner vers d'autres solutions respectueuses des données personnelles et de la vie privée des personnes.

Par exemple, pour votre logiciel d'emailing nous avons réalisé une analyse privacy des logiciels les plus utilisé (cliquer ici !)

Vous pouvez aussi consulter le "Guide du sous-traitant" de la CNIL

Vous n'arrivez pas et vous avez besoin d'accompagnement pour mettre en place votre conformité RGPD : contactez-nous!

xDPO propose aussi une offre de formation au RGPD et en cybersécurité.

Les internautes ont aussi consulté dans le Blog:

• Quelles sont les règles d'or du RGPD?

• Comment remplir le registre des traitements ?

• Comment mettre son site internet en conformité avec le RGPD?