Les sous-traitants de données personnelles sont des entreprises qui collectent, stockent ou traitent des données pour le compte d’une autre personne. Ils doivent conclure un contrat ou un avenant spécifique avec chacun de leurs clients, mais également sécuriser leur système informatique et alerter en cas de violation des données.
Qui est concrètement sous-traitant de données personnelles ?
Sont par exemple sous-traitants de données personnelles :
- Les services de publicité en ligne, tels que Facebook Ads et Google Ads
- Les services d’analyse de données, tels que Facebook Analytics ou Google Analytics
- Les services de paiement en ligne, tels que Stripe ou PayPal
- Les plateformes de comptabilité, telles que Tiime ou Clémentine
- Les clouds, tels que Dropbox, Google Drive
- Les hébergeurs de sites web, tels que OVH ou 1and1
- Les services d’agenda en ligne, tels que Google Agenda ou Calendly
Qu’est-ce qu’un sous-traitant au sens du RGPD ?
Le RGPD doit être respecté par ceux qui traitent des données personnelles. Un sous-traitant au sens du RGPD est une structure, une entreprise, qui traite des données personnelles pour le compte, sur instruction ou sous autorité d’un responsable de traitement.
Par exemple, une entreprise externalise son service de prospection commerciale auprès d’un prestataire. L’entreprise envoie les données qu’elle récolte à propos de ses prospects pour qu’elles soient réutilisées et traitées par le prestataire. Alors, le prestataire est un sous-traitant de données personnelles.
Bien souvent, les sous-traitants RGPD sont des prestataires informatiques, des agences de communication, des entreprises en charge de services RH ou marketing. Ainsi, le RGPD impose des obligations à deux acteurs : le responsable de traitement et le sous-traitant.
Les obligations du sous-traitant de données
Initialement, seuls les responsables de traitement étaient tenus de respecter les obligations légales. Mais avec l’arrivée du RGPD, de nouvelles obligations ont été prévues pour les sous-traitants.
Ces obligations peuvent être classées en 4 catégories :
- Conclusion d’un contrat de sous-traitance : le conclure doit conclure des contrats de sous-traitance détaillant les actions menées sur les données personnelles transmises par le responsable de traitement. Le sous-traitant doit être en mesure de prouver qu’il a obtenu l’accord explicite de la structure transférant les données.
- Respect des grands principes du RGPD : le sous-traitant doit être conforme au RGPD ! Ainsi, il faut que la collecte des données ait une finalité, que la durée de conservation soit limitée etc.
- Obligation de sécurité des données personnelles : il est essentiel pour le sous-traitant d’assurer la confidentialité des données. Ainsi, les données transférées par le responsable de traitement doivent être protégées par des moyens informatiques (par exemple le chiffrage des données) afin d’en garantir la sécurité.
- Obligation d’alerte et d’assistance : enfin, le sous-traitant doit pouvoir accompagner son client (et donc le responsable de traitement) sur les usages des données traitées. Ainsi, le RGPD impose au sous-traitant une obligation d’alerte lorsqu’il identifie un risque à propos des données traitées ou de leur sécurité. Par ailleurs, le sous-traitant doit pouvoir répondre aux requêtes des personnes qui souhaitent exercer leurs droits (d’accès, de modification, d’effacement, d’opposition).
Les risques de sanction en cas de non-respect du RGPD pour le sous-traitant
En cas de non-respect des obligations RGPD, le sous-traitant d’expose à des risques. En effet, le RGPD prévoit que le responsable du traitement et le sous-traitant peuvent être tenus de réparer le préjudice subi du fait d’une violation du RGPD.
La Commission nationale de l’informatique et des libertés (Cnil) peut prononcer des sanctions. Le sous-traitant peut faire l’objet d’une sanction administrative allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. De plus, le sous-traitant s’expose à des sanctions pénales.
Deshoulières Avocats vous accompagne à toutes les étapes de votre mise en conformité au RGPD.
RÉFÉRENCES :
- Retrouvez l’article sur le droit à réparation et responsabilité du RGPD : article 82
- L’article du RGPD à propos des sous-traitants : article 28
- La liste des sanctions prononcées par la Cnil
