• RGPD : Les bonnes pratiques à mettre en place par les sous-traitants -fr 
Nos publications

RGPD : Les bonnes pratiques à mettre en place par les sous-traitants

Le droit des données personnelles fait peser une responsabilité importante sur le responsable de traitement. Toutefois, le RGPD a introduit une responsabilité plus importante du sous-traitant. La notion de sous-traitant en droit des données personnelles n’est pas la même qu’on matière de contrat ou de procédure de marchés publics.

Toute relation contractuelle mettant en jeu un traitement des données personnelles qu’il s’agisse d’une collecte, d’une maintenance informatique, de la mise en place d’un système de badge, d’un site internet etc. suppose de définir les rôles respectifs des parties dans ce contexte.

Comment déterminer qui est responsable de traitement et qui est sous-traitant ?

La loi définit le responsable de traitement  comme celui qui détermine les finalités et les moyens d’un traitement.

A l’inverse, le sous-traitant est le prestataire de service qui traite des données à caractère personnel pour le compte, sur instruction et sous l’autorité d’un responsable de traitement.

  • Cela peut concerner une tâche précise ou des activités plus générales

Ex : sous-traitance d’envoi de courriers, gestion d’un service de paie de salariés pour le compte d’un organisme, …

  • Si le sous-traitant est non-établi au sein de l’UE, il est soumis au RGPD si ses activités de traitement sont liées (i) à l’offre de biens/services de personnes concernées dans l’UE, ou (ii) au suivi du comportement de ces personnes s’il a lieu dans l’UE ( 3).

Sont notamment sous-traitants :

  • Les prestataires de services informatiques (hébergement, maintenance…) qui ont accès aux données ;
  • Les agents de marketing ou communication qui traitent de données personnelles pour le compte de clients ;
  • Tout organisme qui offre un service ou une prestation impliquant un traitement de DP pour le compte d’un autre.

Il s’agira plus rarement d’organismes publics ou d’associations. En effet, ces entités traitent en général les données pour leur propre compte.

Des critères ont été définis par le groupe du G29 afin de déterminer qui est sous-traitant à travers un faisceau d’indices :

  • L’autonomie du prestataire par rapport aux instructions du client ;
  • Le degré de contrôle/surveillance sur la prestation par le client ;
  • La valeur ajoutée/expertise approfondie du prestataire ;
  • Le degré de transparence du client sur le recours au prestataire.

Quels sont les changements introduits par le RGPD envers les sous-traitants ? 

Deux principes nouveaux ont été mis en oeuvre par le règlement européen.

  • Une responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles des résidents de l’UE, en conséquence la victime peut agir contre tout maillon de la chaîne contractuelle ;
  • Des obligations spécifiques sont imposées aux sous-traitants telle qu’une assistance et un rôle de conseil à apporter aux responsables de traitement dans leur propre mise en conformité des traitements.
  • Ainsi, dès lors que le sous-traitant met en œuvre un traitement de données personnelles pour le compte d’un client, il doit offrir à ce dernier des garanties suffisantes dans la mise en œuvre des mesures techniques et organisationnelles appropriées. Il doit être en mesure de présenter un plan de formation et de sensibilisation de son personnel, sa politique de sécurité, de gestion des habilitations etc.

Un devoir d’assistance, d’alerte et de conseil.

A ce titre, le sous-traitant est tenu :

  • d’informer le client de toute violation des règles en matière de protection des données, même si cette violation découle d’une de ses instructions ;
  • d’assister et aider le client dans le traitement des demandes des personnes concernées exerçant leurs droits (accès, rectification, effacement, portabilité, etc.) ;
  • Enfin, aider et assister le client à garantir le respect de ses obligations en matière de sécurité du traitement, de notification des violations de sécurité (dans ce dernier cas, il est important de faire remonter l’information au responsable de traitement dans les plus brefs délais).

Tout sous-traitant devra assurer la sécurité des données sous sa garde.

Les mesures de sécurité devront être adaptées selon le risque encouru et définies avec le client.

Ainsi, il conviendra de renforcer les obligations des salariés accédant aux données des clients. De même, un cahier des incidents devra être tenu et chaque violation de données doit être notifiée au client dans les délais convenus.

Au terme de la prestation

Le prestataire devra, selon les instructions de son client :

  • Supprimer l’ensemble des données en possession du sous-traitant et de ses partenaires ou les lui renvoyer ;
  • En détruire les copies existantes, sauf si une obligation légale oblige à les conserver.

Nos recommandations.

Nous recommandons aux sous-traitants de faire preuve de transparence et de disposer d’outils permettant la traçabilité des actions menées.

 Plus précisément, ses efforts doivent porter principalement sur les points suivants :

  • Etablissement d’un contrat avec le responsable de traitement précisant les obligations de chaque partie ainsi que la reprise des dispositions de l’art. 28 du RGPD ;
  • Ce contrat doit recenser par écrit les instructions du client sur le traitement des données personnelles ;
  • Tout recours à un sous-traitant ultérieur doit être indiqué et autorisé par le client, il peut s’agir d’un hébergeur d’une solution SaaS, d’une société de maintenance etc. ;
  • Mettre à disposition du client toutes les informations nécessaires afin de démontrer le respect de ses obligations et permettre la réalisation d’audits ;
  • Tenue d’un registre recensant les traitements opérés pour le compte des clients (responsables de traitement + description des traitements effectués pour leur compte).

Le cas de l’éditeur ou développeur d’une solution (logiciel, application, site, services etc.).

Le principe de la protection des données dès la conception de la solution doit être respectée et ce par défaut. Seules seront traitées les données personnelles nécessaires à la finalité du traitement au regard de la quantité de données collectées, à l’étendue du traitement, la durée de conservation, et le nombre de personnes y ayant accès. Le client devra être interrogé à ce sujet.

Il conviendra donc de faire attention à ces aspects dans le cahier des charges, dans les outils de développement interne, lors de l’ajout de nouvelles fonctionnalités…Par exemple, la solution devra permettre de paramétrer par défaut et a minima la collecte de données, de ne collecter que les données nécessaires à la finalité du traitement, de purger automatiquement les données d’une base active à l’issue d’une certaine durée. La question de la gestion des habilitations et des droits d’accès informatiques, sur demande des personnes concernées, devra également être abordées afin que le responsable de traitement soit en mesure de respecter les droits des personnes physiques concernées.

En conclusion, ces nouvelles règles obligent le sous-traitant à revoir ses process afin de vérifier la nature de ses relations à la fois envers es clients mais aussi ses propres sous-traitants et ses salariés. Il importera également de vérifier et mettre à jour sa police d’assurance.

Florent Pinchon

Blandine Poidevin

Avocats

Cabinet Jurisexpert

www.jurisexpert.net