L’article 28 du RGPD est bien connu des DPO comme l’un des plus importants du texte. En effet, c’est lui qui régit la relation entre les entreprises et leurs sous-traitants (au sens du RGPD).
Et avec lui viennent des obligations importantes pour les entreprises, notamment le fameux audit des sous-traitants. Mais aussi des clauses contractuelles pas toujours évidentes à prévoir entre le responsable de traitement et son sous-traitant…
La question du sous-traitant étant source de risque juridique assez important pour les entreprises, il est utile d’y revenir un peu plus en détail. Et comme toujours, le meilleur moyen de bien comprendre la réglementation est de revenir à sa source : le texte du RGPD lui-même.
On sort donc le microscope pour étudier précisément le texte et plus précisément son article 28. C’est parti !
Responsable de traitement, sous-traitant… les notions à l’oeuvre dans l’article 28 RGPD
L’article 28 du RGPD ne définit pas les notions de sous-traitant et de responsable de traitement qu’il utilise. Pour cela, il faut se rendre à l’article 4 qui contient les définitions du texte européen.
Ainsi, la définition du sous-traitant précise qu’il s’agit de “la personne physique ou morale, l’autorité publique, le service ou autre organisme”… avant d’aller plus loin, notons que cette définition est donc extrêmement large. Vous pouvez d’ailleurs très bien être à la fois responsable de traitement et sous-traitant, selon votre activité, pour des opérations différentes.
… “qui traite des données à caractère personnel pour le compte du responsable de traitement”. C’est donc le fait de mener une opération de traitement, pour le compte d’un tiers, qui fait de vous un sous-traitant.
Le responsable de traitement est alors l’entreprise qui décide de l’opération de traitement.
Par exemple, un hébergeur internet est un sous-traitant de données personnelles. C’est le cas également des intégrateurs de logiciels et plus largement d’éditeurs de nombreux logiciels. Enfin, certaines agences (de développement informatique, de marketing) peuvent être sous-traitants à condition qu’elles aient accès aux données clients.
Il est donc très fréquent d’employer les services d’un sous-traitant. Or cette pratique oblige l’entreprise, sur deux grands aspects. D’abord, il faut mener un audit du sous-traitant avant de le choisir ; ensuite, le contrat qui vous la lie au sous-traitant doit comporter des clauses spécifiques.
Article 28 RGPD pose l’obligation de l’audit des sous-traitants
Dès son premier point, l’article 28 précise que le responsable de traitement “fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes” quant à la protection des données et à la conformité au RGPD en général.
De cette disposition découle l’obligation pour le responsable de traitement de mener un audit des sous-traitants, notamment avant de choisir un prestataire. Pour le mener à bien, Witik vous conseille de vous appuyer sur son module d’audit spécialisé. Celui-ci permet de collaborer efficacement et de façon sécurisée avec les tiers auditées, de centraliser les informations dont vous aurez besoin et de définir des seuils d’alerte pour chaque paramètre étudié.
Ainsi, vous pourrez tenir à jour cette observation des sous-traitants tout au long de la relation avec eux.
Il faut encore préciser que dans le cas où des manquements sont perçus par le responsable de traitement, il doit renoncer à collaborer avec son partenaire et se tourner vers un autre prestataire.
Au passage, notons qu’en tant que sous-traitant, le respect de la conformité au RGPD devient donc un argument commercial important !
Le contrat de sous-traitance et les clauses à prévoir
L’article 28 du RGPD prévoit, dans son point 3, que les relations entre le responsable de traitement et son sous-traitant soient régies par un contrat spécifique. Plus précisément, les différentes mentions obligatoires qui doivent figurer dans ce contrat sont précisées.
D’abord, celui-ci doit définir l’objet du traitement considéré : son objet et sa durée, sa nature et sa finalité, mais aussi le type de données à caractère personnel et les catégories de personnes concernées. Le contrat précise aussi les droits et obligations du responsable de traitement.
En dehors de ces mentions obligatoires, l’article 28 dispose d’un certain nombre d’autres éléments : concrètement, ces mesures encadrent la relation. Ainsi, le sous-traitant s’engage à ne traiter les données que sur instruction documentée de son responsable de traitement, y compris en ce qui concerne d’éventuels transferts de données. De même, le sous-traitant respecte un principe de confidentialité des données, mais plus généralement s’engage, dans le respect de l’article 32 du RGPD, à prendre toutes les mesures nécessaires à la protection des données qui lui sont confiées.
Enfin, le sous-traitant s’engage à un devoir d’assistance envers le responsable de traitement : il l’aide à s’acquitter de ses obligations (notamment en ce qui concerne l’exercice des droits des personnes) et plus généralement à assurer la conformité du traitement de données. Il doit également mettre à disposition du responsable de traitement toutes les informations qui seraient nécessaires, en particulier dans le cadre de l’audit des sous-traitants que celui-ci doit mener.
Enfin, le texte européen encadre les relations en chaîne qui peuvent exister entre plusieurs sous-traitants, lorsque le sous-traitant fait appel à un autre prestataire. Sans entrer dans le détail de ces relations particulières, notons que les mêmes obligations doivent être respectées et que le responsable de traitement doit être informé de cette sous-traitance secondaire.
