RGPD : Les obligations des sous-traitant de données personnelles
Dernière mise à jour : 17 févr.

A l'issue de la lecture de cet article, vous connaitrez :
L'importance de sécuriser la relation avec vos sous-traitants
Les obligations de votre sous-traitant de données personnelles
Pourquoi la relation avec vos sous-traitant de données personnelles doit elle être sécurisée ?
Le sous-traitant est l'organisme qui traite des données pour le compte d’un responsable de traitement, dans le cadre d’un service ou d’une prestation.
Si vous êtes responsable de traitement, peuvent être des sous-traitants de données personnelles :
- Votre expert-comptable
- Votre prestataire informatique
- Votre éditeur de logiciel en mode Saas (CRM, ERP, SIRH...)
- Votre hébergeur de données
Dans ce cas, vous vous affichez comme responsable du traitement des données auprès des personnes concernées et vous confiez à des tiers - les sous-traitants de données personnelles - le traitement de ces données.
Alors que vous avez sûrement pris des engagements de confidentialité ou protection des données auprès de ses personnes.
👉Il est donc indispensable de vérifier les engagements des sous-traitants et de les formaliser par écrit.
Quelles sont les obligations auxquelles est soumis un sous-traitant de données personnelles ?
Les sous-traitants ont des obligations concernant les données personnelles, qui doivent être présentes dans le contrat :
1️⃣ Une obligation de transparence et de traçabilité
Votre sous-traitant doit mettre à votre disposition toutes les informations nécessaires au respect de ses obligations.
L'élément clé est le contrat qui vous lie à votre sous-traitant, celui-ci doit être clair et contenir toutes les mentions obligatoires (finalités, durée du traitement, mesures de sécurité, catégories de données personnelles sous-traitées, catégories des personnes concernées...).
Cette obligation de transparence et de traçabilité passe également par la tenue d'un registre de activités de traitement du sous-traitant ou la réalisation d'audit.
Le responsable de traitement peut légitimement demander à consulter ces documents.
2️⃣ La prise en compte des principes de protection des données dès la
conception et par défaut
Définissons tout d'abord ces deux notions fondamentales du RGPD:
- Protection des données la conception : "privacy by design" : les considérations de protection de la vie privée sont prises en compte dès la phase de conception du produit ou du service.
- Protection des données par défaut : "privacy by default" : le produit ou service, applique, même si l'utilisateur ne fai aucun choix, le plus haut niveau de protection des des données personnelles et en limiter la collecte.
Le sous-traitant est soumis à l'obligation d'appliquer ces principes et doit vous le prouver.
A titre d'exemple, vous pouvez vérifier que votre sous-traitant ne collecte que des données qui sont strictement nécessaires au traitement, qu'il gère les habilitations et les droits d'accès informatique en fonction de la sensibilité de la donnée, qu'il purge régulièrement les bases de données après un certain temps...
3️⃣ Une obligation de garantir la sécurité des données traitées
Si votre sous-traitant est soumis à une obligation de sécurité, celle-ci peut prendre différentes formes.
- La sécurité juridique : par la présence de contrat pour encadrer une sous-
traitance.
- La sécurité technique : l'ensemble des mesures permettant de sécuriser un
système d'information (authentification, chiffrement des données, journalisation des traces...)
- La sécurité organisationnelle : l'ensemble des mesures annexes mise en place
pour la sécurité des données (formation des employés, mise en place de
procédure...)
A minima, vous devez vous assurer que les personnes en charge de traiter les données personnelles pour votre compte s'engagent à garder confidentielle les informations auxquelles ils ont accès dans le cadre de leur mission.
Par exemple, vous pouvez aussi demander à votre sous-traitant de vous fournir sa politique de sécurité des systèmes d'information pour avoir une idée du niveau de sécurité de leur infrastructure informatique.
4️⃣ Une obligation d’assistance, d’alerte et de conseil
Cette obligation porte sur plusieurs éléments :
Premièrement, votre sous-traitant doit vous informer dans les plus brefs délais en cas de violation de données.
Deuxièmement, en cas d'exercice par une personne de ses droits RGPD que ce soit auprès du sous-traitant ou du responsable de traitement, votre sous-traitant doit vous aider à répondre au mieux à cette demande.
Finalement, le sous-traitant à une obligation d'assistance et de conseil dans la réalisation de vos AIPD (pour en savoir plus à ce sujet, notre article)
5️⃣ Une obligation de garantir une chaine de sous-traitance respectueuse du
RGPD
Par principe votre sous-traitant ne peut recruter un autre sous-traitant que sur autorisation écrite du responsable du traitement. Alors, si celui-ci veut à son tour faire appel à un sous-traitant ou changer de sous-traitant (par exemple son hébergeur de données), il doit vous en informer.
Le sous-traitant ultérieur doit respecter les mêmes obligations et présenter des garanties suffisantes au regard du RGPD.
6️⃣ Une obligation de suppression / rapatriement des données à la fin de la
sous-traitance
Une fois la sous-traitance terminée, le sous-traitant doit supprimer l'ensemble des données qui ont été transmises ou vous les remettre avant d'effacer les copies éventuelles.
Le sort des données finales doit être discuté et négocié entre le responsable de traitement et le sous-traitant au moment de la rédaction du contrat et y être intégrer.
7️⃣ Une obligation de désigner un DPO
Cette obligation de désignation d'un DPO ne repose pas sur toutes les structures avec la même intensité. Pour certains la désignation d'un DPO est obligatoire, pour d'autres c'est une vive recommandation.
Pour autant, la présence d'un DPO chez votre sous-traitant est un bon signe de compliance.
Pour savoir si votre sous-traitant à designer un DPO vous pouvez :
- Regarder dans votre contrat, l'identité et les coordonnées seront mentionnées
- Regarder la liste des DPO désignés auprès de la CNIL disponible sur le site de la
CNIL
Mon sous-traitant n'est pas conforme, que faire ?
Il est possible qu'après avoir analysé les différents éléments cités ci-dessus, vous vous rendiez compte que votre sous-traitant ne respecte pas l'ensemble de ses obligations.
La première à chose à faire sera de le contacter (ou son DPO dans le cas où il en a désigné un) pour engager une discussion sur leur niveau de déploiement d'une conformité RGPD.
Vous devrez par la suite signer un avenant RGPD avec lui (la CNIL met à disposition sur son site internet un modèle d'avenant, disponible à la fin du "Guide du sous-traitant" téléchargeable ci-dessous).
Si le sous-traitant est difficilement joignable (c'est souvent le cas pour les plus grandes entreprises - Google, Microsoft...), nous vous conseillons de vous tourner vers d'autres solutions respectueuses des données personnelles et de la vie privée des personnes.
Par exemple, pour votre logiciel d'emailing nous avons réalisé une analyse privacy des logiciels les plus utilisé (cliquer ici !)
Vous pouvez aussi consulter le "Guide du sous-traitant" de la CNIL
Vous n'arrivez pas et vous avez besoin d'accompagnement pour mettre en place votre conformité RGPD : contactez-nous!
xDPO propose aussi une offre de formation au RGPD et en cybersécurité.
Les internautes ont aussi consulté dans le Blog: