top of page
  • xdpo

RGPD : Les obligations des sous-traitants de données personnelles

Dernière mise à jour : 17 sept.


Le Règlement Général sur la Protection des Données (RGPD), impose un certain nombre d'obligations aux sous-traitants de données personnelles. Ces obligations visent à garantir que les données personnelles soient traitées de manière sécurisée et conforme aux principes du RGPD.




Qu'est ce qu'un sous-traitant de données personnelles?


Le sous-traitant est l'organisme qui traite des données pour le compte et selon les instructions d’un responsable de traitement, dans le cadre d’un service ou d’une prestation.


Si vous êtes responsable de traitement, les prestataires suivants peuvent être des sous-traitants de données personnelles :


- Votre expert-comptable

- Votre prestataire informatique

- Votre éditeur de logiciel en mode Saas (CRM, ERP, SIRH...)

- Votre hébergeur de données


Pourquoi s'assurer de la conformité RGPD de vos sous-traitants de données personnelles ?


Si vous collectez des données personnelles, vous êtes responsable du traitement des données auprès des personnes concernées et si vous les confiez à un tiers, ce dernier peux être qualifié de sous-traitants de données personnelles.


Au moment de la collecte des données personnelles, vous avez pris des engagements de confidentialité ou de protection des données auprès de ces personnes : il est donc indispensable de vérifier les engagements soient bien repris par vos sous-traitants et de les formaliser par écrit.


Quelles sont les obligations auxquelles est soumis un sous-traitant de données personnelles ?


Les sous-traitants ont des obligations concernant les données personnelles, qui doivent être présentes dans le contrat :



1️⃣ Une obligation de transparence et de traçabilité


Votre sous-traitant doit mettre à votre disposition toutes les informations nécessaires au respect de ses obligations.


L'élément clé est le contrat qui vous lie à votre sous-traitant, celui-ci doit être clair et contenir toutes les mentions obligatoires (finalités, durée du traitement, mesures de sécurité, catégories de données personnelles sous-traitées, catégories des personnes concernées...).


Cette obligation de transparence et de traçabilité passe également par la tenue d'un registre de activités de traitement du sous-traitant ou la réalisation d'audit.

Le responsable de traitement peut légitimement demander à consulter ces documents.



2️⃣ La prise en compte des principes de protection des données dès la

conception et par défaut


Ces deux notions du RGPD sont fondamentales et traduisent les concepts de :


- Privacy by design (protection des données la conception) : les enjeux de protection de la vie privée sont pris en compte dès la phase de conception du produit ou du service.


- Privacy by default (protection des données par défaut) : le produit ou service, applique même en l’absence de choix de l'utilisateur, le plus haut niveau de protection des données personnelles et en limite la collecte.

Le sous-traitant est soumis à l'obligation d'appliquer ces principes et doit vous le prouver.


Par exemple, vous pouvez vérifier que votre sous-traitant ne collecte que des données qui sont strictement nécessaires au traitement, qu'il gère les habilitations et les droits d'accès informatique en fonction de la sensibilité de la donnée, qu'il purge régulièrement les bases de données après un certain temps...



3️⃣ Une obligation de garantir la sécurité des données traitées


Si votre sous-traitant est soumis à une obligation de sécurité, celle-ci peut prendre différentes formes.


- La sécurité juridique : par la présence d’un contrat pour encadrer une sous-traitance


- La sécurité technique : l'ensemble des mesures permettant de sécuriser un système d'information (authentification, chiffrement des données, journalisation des traces...)


- La sécurité organisationnelle : l'ensemble des mesures annexes mis en place pour la sécurité des données (formation des employés, mise en place de procédure...)


A minima, vous devez vous assurer que les personnes en charge de traiter les données personnelles pour votre compte, s'engagent à garder confidentielles les informations auxquelles ils ont accès dans le cadre de leur mission.

Par exemple, vous pouvez aussi demander à votre sous-traitant de vous fournir sa politique de sécurité des systèmes d'information pour avoir une idée du niveau de sécurité de leur infrastructure informatique.



4️⃣ Une obligation d’assistance, d’alerte et de conseil


Cette obligation porte sur plusieurs éléments :


  1. Obligation de vous informer dans les plus brefs délais en cas de violation de données.

  2. Si une personne exerce ses droits RGPD que ce soit auprès du sous-traitant ou du responsable de traitement, votre sous-traitant doit vous aider à répondre au mieux à cette demande.

  3. Obligation d'assistance et de conseil dans la réalisation de vos AIPD (pour en savoir plus à ce sujet, notre article)


5️⃣ Une obligation de garantir une chaine de sous-traitance respectueuse du

RGPD


Par principe votre sous-traitant ne peut recruter un autre sous-traitant que sur autorisation écrite du responsable du traitement. Alors, si celui-ci veut à son tour faire appel à un sous-traitant ou changer de sous-traitant (par exemple son hébergeur de données), il doit vous en informer.

Le sous-traitant ultérieur doit respecter les mêmes obligations et présenter des garanties suffisantes au regard du RGPD.



6️⃣ Une obligation de suppression / rapatriement des données à la fin de la

sous-traitance


Une fois la sous-traitance terminée, le sous-traitant doit supprimer l'ensemble des données qui ont été transmises ou vous les remettre avant d'effacer les copies éventuelles.


Le sort des données finales doit être discuté et négocié entre le responsable de traitement et le sous-traitant au moment de la rédaction du contrat et y être intégré.



7️⃣ Une obligation de désigner un DPO


Cette obligation de désignation d'un DPO ne repose pas sur toutes les structures avec la même intensité. Pour certains la désignation d'un DPO est obligatoire, pour d'autres c'est une vive recommandation.

Pour autant, la présence d'un DPO chez votre sous-traitant est un bon signe de compliance.

Pour savoir si votre sous-traitant a désigné un DPO vous pouvez :


- Regarder dans votre contrat, l'identité et les coordonnées seront mentionnées

- Regarder la liste des DPO désignés auprès de la CNIL disponible sur le site de la CNIL



Mon sous-traitant n'est pas conforme, que faire ?


Si à la lecture de cet article vous vous êtes rendu compte que votre sous-traitant ne respecte pas toutes ses obligations :

La première à chose à faire sera de le contacter (ou son DPO s’il en a désigné un) pour engager une discussion sur leur niveau de déploiement d'une conformité RGPD.


Vous devrez par la suite signer un avenant RGPD avec lui (la CNIL met à disposition sur son site internet un modèle d'avenant, disponible à la fin du "Guide du sous-traitant" téléchargeable ci-dessous).

Si le sous-traitant n'est pas joignable (grands éditeurs internationaux), nous vous conseillons de vous tourner vers d'autres solutions locales, européennes et respectueuses des données personnelles et de la vie privée des personnes.


Vous pouvez aussi consulter le "Guide du sous-traitant" de la CNIL






Vous n'arrivez pas et vous avez besoin d'accompagnement pour mettre en place votre conformité RGPD : contactez-nous!


Les internautes ont aussi consulté dans le Blog:





Comments


bottom of page