Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous
Le sous-traitant et le responsable de traitement sont tenus à un certain nombre de nouvelles obligations en application du RGPD. La CNIL, qui a réalisé des vérifications auprès de 15 fournisseurs de services et solutions informatiques en ligne, rappelle quelques bonnes pratiques à adopter.
Depuis l’entrée en application du RGPD, de nouvelles obligations pèsent sur les sous-traitants comme sur les responsables de traitement.
Les contrôles réalisés par la CNIL, dans le cadre des thématiques de contrôles prioritaires pour 2019, ont mis en évidence une réelle prise de conscience des nouvelles obligations pesant sur les sous-traitants avec notamment l’élaboration par les sous-traitants eux-mêmes de modèles de clauses contractuelles, en annexe du contrat de sous-traitance (désigné également contrat de prestations de services).
Ces conseils s’inscrivent dans la continuité du guide du sous-traitant publié par la CNIL en septembre 2017. Des travaux sont en cours au niveau du Comité européen de la protection des données sur les notions de responsable de traitement et de sous-traitant, qui permettront de préciser et compléter ces premiers rappels.
Déterminer le statut des acteurs impliqués
Lorsqu’un organisme traite des données personnelles pour le compte d’un responsable de traitement, il est considéré comme son sous-traitant au sens du RGPD. C’est également le cas s’il fournit une solution « clé en main », si cet organisme traite effectivement des données personnelles (et n’est pas, par exemple, uniquement éditeur de logiciels).
À l’inverse, si le sous-traitant traite également les données issues de ce traitement pour son propre compte (par exemple, à des fins de gestion de la relation client ou encore de comptabilité), il sera considéré comme responsable de traitement pour ce traitement spécifique.
Les conseils de la CNIL
Le donneur d’ordre et le prestataire de service définissent chacun leur rôle sur la base de la réglementation applicable (articles 4.7, 4.8 et 28.10 du RGPD), en menant l’analyse ensemble, afin de pouvoir ensuite s’accorder sur leurs obligations respectives.
Cela vaut également pour les cas de sous-traitance n’impliquant qu’un accès ponctuel aux données personnelles (telles que les opérations de maintenance). Attention, cela ne signifie pas que les parties peuvent « choisir » ensemble la qualification qui les arrange.
Cette clarification est essentielle pour assurer la sécurité juridique des deux parties au contrat.
Établir un contrat clair
Le responsable de traitement et le sous-traitant doivent conclure un contrat incluant plusieurs mentions obligatoires listées à l’article 28.3 du RGPD.
Cela doit permettre aux parties :
- d’organiser leurs rapports et leurs obligations respectives au regard de la protection des données personnelles ;
- d’intégrer l’ensemble des mentions listées à l’article 28.3 du RGPD, en les adaptant à leur situation, et mettre en œuvre les obligations ainsi définies.
Documenter l’activité de sous-traitance
Le responsable de traitement doit s’assurer que son sous-traitant respecte le RGPD. Pour ce faire, le contrat doit impérativement comporter une clause selon laquelle le sous-traitant tient à disposition du donneur d’ordre toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre la réalisation d’audit par le responsable de traitement (ou un autre auditeur qu’il a mandaté).
Proposer des outils respectueux des données personnelles
Le sous-traitant doit offrir des garanties suffisantes pour répondre aux exigences du RGPD (article 28.1 du RGPD). Il doit proposer des solutions et outils respectueux des données personnelles.
Il a également un rôle d’assistance et de conseil à l’égard du responsable de traitement. Il doit alerter le responsable de traitement s’il estime qu’une instruction qu’il reçoit constitue une violation de la réglementation applicable en matière de données personnelles.
Pour sa part, le responsable de traitement doit veiller à recourir à des services qui incluent des fonctionnalités et outils techniques qui lui permettront d’assurer sa conformité.
Aider le responsable de traitement à répondre aux demandes d’exercices des droits des personnes
Le sous-traitant doit aider le donneur d’ordre dans le traitement des demandes d’exercice des droits qu’il reçoit (accès, rectification, effacement, limitation, portabilité) conformément à l’article 28.3.e) du RGPD. Cette assistance est d’autant plus essentielle que le sous-traitant est parfois le plus à même d’assurer la mise en œuvre technique des suites apportées aux demandes d’exercice des droits.
Il est donc important d’organiser, dès la conclusion du contrat de sous-traitance, les modalités de cette assistance et de veiller à ce que la solution fournie par le sous-traitant intègre des fonctionnalités permettant de répondre à ces demandes facilement et rapidement.
Garantir la sécurité des données collectées
Le responsable de traitement doit faire appel à un sous-traitant qui présente des garanties suffisantes en termes de sécurité. Le sous-traitant doit, quant à lui, assurer un niveau de sécurité suffisant au regard de la nature des données collectées pour le responsable de traitement (article 32 du RGPD).
En pratique, le sous-traitant joue un rôle fondamental dans la mesure où, bien souvent :
- il assurera la mise en œuvre effective des traitements de données personnelles ;
- il détient le savoir-faire et la maîtrise technique de la solution commercialisée.
En cas de violation de données, le sous-traitant doit également aider le responsable de traitement, à remplir ses obligations de notification à la CNIL et de communication à la personne concernée le cas échéant.
Source : CNIL
Ce contenu est mis à disposition à titre pédagogique par notre organisme de formation « LE NET EXPERT FORMATIONS ». Il entre dans le cadre de formations sur le thème du RGPD que nous proposons. Il ne constitue ni un contenu officiel, ni une liste exhaustive, ni une incitation à des actes malveillants.
Ce document constitue un extrait du support de cours que notre formateur met à la disposition de nos stagiaires.
Notre Formateur/Expert peut aussi être en mesure de vous accompagner pour répondre à une situation ponctuelle.
LeNetExpert Formations