Mis à jour le 21 Déc 2022
Le Règlement Général sur la Protection des Données (RGPD) met en place des obligations spécifiques aux sous-traitants. En cas d’irrespect, la Cnil peut prononcer de lourdes sanctions. Retrouvez les conseils de notre cabinet d’avocats expert en protection des données personnelles concernant les nouvelles obligations RGPD sous-traitant.
1. RGPD sous-traitant : Êtes-vous concerné ?
Au sens du RGPD, le sous-traitant est celui qui travaille sous les ordres ou pour le compte d’un responsable de traitement. Il peut effectuer une mission précise, par exemple l’envoi de nombreux e-mails à vos fichiers contacts, ou bien plus générale comme la gestion comptable de votre société. Contrairement au responsable du traitement, le sous-traitant ne détermine pas les finalités du traitement (c’est-à-dire les raisons pour lesquelles les données sont collectées), ni les moyens du traitement (c’est-à-dire les procédés par lesquelles les données sont traitées).
Il faut se poser la question de la qualité de l’organisme (responsable de traitement ou sous-traitant) traitement par traitement. En effet, un organisme peut parfaitement être sous-traitant pour un traitement mais responsable de traitement pour un autre. Par exemple, un sous-traitant est souvent responsable de traitement quant à la gestion de son propre personnel.
Si vous êtes sous-traitant, vous êtes soumis au RGPD dès lors que vous êtes établi sur le territoire de l’Union européenne ou bien si vos activités concernent des résidents de l’UE. Cependant, il est à noter que le RGPD ne s’intéresse qu’aux organismes qui traitent des données personnelles. Un prestataire qui n’a accès à aucune donnée personnelle n’est donc pas concerné. Il peut s’agir par exemple des fabricants de matériel.
Dans le cas où vous êtes un sous-traitant soumis au RGPD, vous devez respecter les exigences en termes de protection des données personnelles. Comme le responsable de traitement, vous devez donc vous conformer à l’obligation de transparence et de traçabilité, respecter les droits RGPD des personnes, … Par ailleurs, vous êtes aussi soumis à des obligations spécifiques, propres aux sous-traitants.
Deshoulières Avocats vous accompagne à chaque étape de votre mise en conformité RGPD grâce à notre méthodologie en 20 étapes. Nous disposons d’un niveau d’expertise élevé sur les spécificités RGPD sous-traitant.
2. Sous-traitant RGPD : Désigner un DPO
Avant toute chose, vous devez vous interroger sur la nomination d’un Délégué à la Protection des Données (DPO).
- Le sous-traitant a l’obligation de désigner un DPO dans le cas d’un traitement systématique à grande échelle ou bien s’il traite des données sensibles.
- Dans tous les autres cas, sa désignation n’est que facultative mais reste très fortement recommandée (notamment par la Cnil).
Le DPO informe et conseille le sous-traitant sur toutes les questions relatives à la protection des données personnelles. Il est l’interlocuteur privilégié de la Cnil et de toutes les personnes concernées par le traitement. Sa désignation réduit donc considérablement le risque de sanctions.
Deshoulières Avocats intervient en tant que DPO externe auprès de nombreux clients. Nous vous garantissons une indépendance totale ainsi qu’une connaissance parfaite de la législation actuelle concernant la protection des données personnelles et les obligations spécifiques d’un sous-traitant RGPD.
3. Sous-traitant RGPD : Rédiger votre contrat de sous-traitance
Votre relation avec le responsable de traitement doit être formalisée dans un contrat de sous-traitance. Le RGPD encadre strictement ce type de contrat, qui est soumis à un formalisme particulier.
- Ce contrat doit contenir toutes les mentions obligatoires classiques. Il doit donc définir précisément l’objet, la nature, la finalité, la durée du traitement ainsi que le type de données traitées et les catégories de personnes concernées. De plus, il faut indiquer les obligations du responsable de traitement.
- Il doit aussi contenir les mentions spécifiques aux droits et obligations des sous-traitants RGPD, prévues à l’article 28 du RGPD. Par exemple, il faut insérer dans le contrat une clause par laquelle le sous-traitant s’engage à respecter les instructions du responsable de traitement quant au traitement des données personnelles. Le contrat doit aussi prévoir que le sous-traitant autorise le responsable de traitement à réaliser une analyse d’impact et s’engage à lui fournir tous les renseignements utiles.
La rédaction de contrats conformes au RGPD nécessite des compétences juridiques particulières. Il est donc fortement recommandé de faire appel à un professionnel du droit. Deshoulières Avocats rédige pour vous vos documents contractuels en respect des dispositions du Règlement.
4. RGPD sous-traitant : Tenir un registre de traitement
Dans certains cas, vous êtes soumis à l’obligation d’élaborer un registre des traitements.
- Si vous avez plus de 250 employés.
- Si vous mettez en œuvre régulièrement des traitements qui présentent un risque élevé pour les droits et libertés des personnes.
- Quand le traitement porter sur des données sensibles, par exemple des données relatives à la santé ou à des condamnations pénales.
Ce registre doit contenir un certain nombre d’informations obligatoires afin d’informer précisément la Cnil à propos du traitement, de ses finalités et des moyens de sécurisation mis en place. Le responsable de traitement doit être précisément identifié, ainsi que les sous-traitants ultérieurs le cas échéant.
Attention ! Si vous êtes par ailleurs responsable de traitement, il faut tenir des registres distincts. Vous devez ainsi tenir un registre pour les traitements dont vous êtes responsable et un autre registre pour les activités que vous effectuez en tant que sous-traitant RGPD.
Cette obligation est particulièrement importante, car elle participe à la documentation de la conformité RGPD. Depuis l’entrée en vigueur du RGPD, vous devez en effet être en mesure de prouver à la Cnil que vous respecter les dispositions du Règlement.
5. Sous-traitant RGPD : Respecter les instructions du responsable de traitement
En tant que sous-traitant, vous ne disposez pas de beaucoup de marge de manœuvre. Vous devez impérativement respecter les consignes du responsable de traitement. Ces consignes sont soit contenues dans le contrat, soit délivrées ultérieurement.
Cependant, si vous recevez une instruction que vous pensez non conforme au RGPD, vous devez en informer le responsable de traitement.
6. RGPD : Désignation des sous-traitants ultérieurs
Vous ne pouvez faire vous-même appel à un sous-traitant RGPD que si vous avez obtenu l’autorisation écrite du responsable du traitement.
Cette autorisation peut être spécifique, c’est-à-dire pour un sous-traitant en particulier, ou générale, c’est-à-dire pour tous les sous-traitants auxquels vous pourriez faire appel. Dans ce dernier cas, il faut informer le responsable de traitement à chaque changement afin qu’il soit en mesure d’émettre des objections.
Le sous-traitant ultérieur doit respecter les mêmes obligations et présenter les garanties suffisantes quant au respect du RGPD. Le formalisme du contrat de sous-traitance doit là aussi être respecter. En cas de manquement du sous-traitant ultérieur à ses obligations, vous êtes entièrement responsable vis-à-vis du responsable de traitement.
7. RGPD sous-traitant : Sécuriser les données
En tant que sous-traitant, vous devez prendre des mesures de sécurisation des données proportionnées aux niveaux de risques. Le manquement à cette obligation est un motif fréquent de sanction de la part de la Cnil. Cependant, la Cnil prend en compte les ressources qui vous sont allouées (financières, mais aussi humaines, matérielles et techniques).
Si une violation de donnée survient, vous devez en informer le responsable de traitement dans les meilleurs délais. C’est lui qui se chargera ensuite de notifier cette violation à l’autorité compétente et le cas échéant aux personnes concernées. Si le contrat le prévoit explicitement, vous pouvez réaliser cette notification pour le compte du responsable de traitement.
Vous devez ensuite coopérer avec le responsable de traitement et lui fournir toutes les informations nécessaires pour remédier à cette violation de données.
8. Sous-traitant RGPD : Quelles est votre responsabilité ?
Le RGPD met en place une logique de co-responsabilité de tous les acteurs impliqués dans le traitement de données, qu’ils soient responsables ou sous-traitants. Autrement dit, lorsqu’un dommage est causé par le traitement de données, chacun est tenu responsable de la totalité du dommage.
Le manquement à vos obligations de sous-traitants peut donc vous exposer à des très lourdes sanctions. En effet, la Cnil peut désormais prononcer des amendes jusque 20 millions d’euros.
Deshoulières Avocats vous accompagne dans votre conformité RGPD afin de vous éviter ce risque de sanction. A l’issue de votre mise en conformité, nous vous délivrons une attestation qui permet de prouver à la Cnil que vous respecter le RGPD. Désigner notre cabinet d’experts comme DPO externe vous assure un suivi régulier au plus proche de vos besoins.
Deshoulières Avocats vous assiste à chaque étape de votre conformité sous-traitant RGPD. Notre cabinet expert en protection des données personnelles vous informe et vous conseille concernant vos obligations spécifiques sous-traitant RGPD. Nous effectuons pour vous les démarches nécessaires afin de vous mettre en conformité et réduire le risque de sanction.
REFERENCES :
- RGPD sous-traitant : texte officiel du RGPD
- Site de la Cnil