RGPD et sous-traitance : la nouvelle donne

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus connu sous le nom de RGPD entrera en vigueur le 25 mai 2018 et sera d’application immédiate.

Le RGPD prévoit de nouvelles exigences applicables aux contrats conclus entre les responsables de traitement et les sous-traitants.

Qu’est-ce qu’un sous-traitant ?

Au sens du RGPD, le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement . Il s’agit d’une personne juridique distincte du responsable de traitement.

Sont ainsi notamment concernés :

– les prestataires de services informatiques (hébergement, maintenance, …),
– les intégrateurs de logiciels,
– les sociétés de sécurité informatique,
– les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données,
– les prestataires (agences de marketing ou de communication, distributeurs, …) qui traitent des données personnelles pour le compte de leurs clients.

Jusqu’à aujourd’hui et sous certaines réserves, seul le responsable du traitement était responsable vis-à-vis des tiers.

Aujourd’hui la donne a changé : le sous-traitant devient par principe responsable et astreint à de nombreuses obligations. Il convient donc être attentif à ces nouvelles obligations qui seront résumées ci-après.

Obligation de transparence et de traçabilité

Le sous-traitant et son client sont tenus d’établir un contrat écrit précisant les obligations des parties et reprenant les dispositions de l’article 28 du RGPD .

Le contrat devra notamment comprendre les éléments suivants :
– objet, nature et finalité du traitement ;
– durée du traitement ;
– type de données traitées ;
– catégories de personnes concernées ;
– obligations et droits du responsable du traitement ;
– obligations du sous-traitant.

Le sous-traitant doit également recenser toutes les instructions du client concernant le traitement des données personnelles, obtenir de son client l’autorisation écrite pour faire appel à un autre sous-traitant, lui fournir toutes informations nécessaires pour démontrer le respect de ses obligations et tenir un registre qui recense les clients et décrit les traitements effectués pour leur compte.

Privacy by design et privacy by default

Le sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles appropriées afin de fournir les garanties nécessaires au regard des exigences du RGPD, notamment de façon à ce que seules soient traitées les données nécessaires à la finalité du traitement (que cela concerne la quantité de données collectées, l’étendue de leur traitement, la durée de conservation ou encore le nombre de personne susceptibles d’y avoir accès).

Obligation de garantir la sécurité du traitement

Pour atteindre cet objectif, le sous-traitant sera notamment tenu de :

– soumettre ses employés à une obligation de confidentialité,
notifier son client, dans les meilleurs délais, en cas de violation de ses données,
– prendre les mesures utiles afin de garantir un niveau de sécurité adapté aux risques.

Au terme de sa prestation, le sous-traitant devra détruire ou renvoyer au client les données et copies.

Obligation d’assistance, d’alerte et de conseil du client

En cas de réception d’une instruction susceptible de constituer une violation des règles en matière de données personnelles, le sous-traitant est tenu d’en informer son client. Lorsqu’une personne exerce les droits découlant du RGPD (accès, modification, portabilité, oubli et plus généralement tous droits garantis par le RGPD), le sous-traitant doit dans toute la mesure du possible aider son client à donner suite à cette demande. Le sous-traitant doit enfin assister son client en vue de s’assurer du respect des obligations en matière de sécurité, de notification de violation de données et d’analyse d’impact.

En conclusion, deux constats s’imposent :

D’une part, vis-à-vis des tiers, le sous-traitant sera à l’avenir tout autant exposé que le responsable du traitement. D’autre part, compte tenu des nouvelles obligations, nous ne pouvons que recommander au sous-traitant de se mettre en conformité avec le RGPD avant son entrée en vigueur.

En assistant à la journée de formation sur le RGPD dédiée aux banquiers et aux assureurs qui aura lieu le 6 février 2018, nous vous proposerons d’éclaircir ces points et bien d ‘autres encore afin de vous donner les clés pour répondre à toutes ces interrogations de plus en plus pressantes à l’approche du 25 mai 2018 !

Thibault Verbiest
Avocat à la Cour
DS avocats
Maître Thibault Verbiest interviendra aux côtés de spécialistes du RGPD appliqué aux banques et aux compagnies d’assurance, ainsi que de la CNIL lors de la formation sur la mise en place du RGPD qui aura lieu le mardi 6 février 2018

Laisser un commentaire