Registre RGPD pour sous-traitants : obligations et sécurité

Le contrôle de la conformité au RGPD repose en grande partie sur la capacité des entreprises concernées à apporter la preuve des mesures mises en œuvre. Cette logique de responsabilisation des acteurs économiques à la protection des données entraîne l’obligation de tenir un certain nombre de registres.

L’un d’eux est le registre RGPD pour les sous-traitants : il concerne, comme son nom l’indique, les sous-traitants au sens du RGPD. Ceux-ci sont à distinguer de la notion habituelle de sous-traitant au sens commun du terme, puisqu’il s’agit de personnes physiques ou morales (entreprises principalement) qui opèrent un traitement de données pour le compte d’une autre structure, qu’on appelle dans cette relation le responsable de traitement.

Il faut préciser que le statut de sous-traitant ou de responsable de traitement n’est pas donné une fois pour toutes, mais dépend de la relation précise et du traitement en tant que tel. Il est donc tout à fait possible d’être considéré comme un sous-traitant par le RGPD pour un traitement donné et comme un responsable de traitement pour un autre.

Or, les sous-traitants doivent remplir un registre RGPD qui doit contenir certaines mentions obligatoires.

Dans quel cadre devez-vous produire le registre des sous-traitants RGPD ?

Si vous opérez un traitement de données pour le compte d’un donneur d’ordres, vous êtes sous-traitant au sens du RGPD. Concrètement, cela arrive dès que les données utilisées n’ont pas été collectées par vous mais par un tiers, y compris via un logiciel par exemple. Dans ce cadre, vous avez un devoir de documentation envers votre responsable de traitements.

En effet, dans le cadre de ses obligations de contrôle, notamment vis-à-vis de la CNIL, le responsable de traitement doit pouvoir présenter un certain nombre de documents. Parmi eux, un registre de sous-traitants RGPD spécifique qu’il vous appartient de remplir. A défaut, la CNIL peut vous le reprocher et conclure à votre responsabilité propre.

Plus précisément, c’est l’article 30 du RGPD qui impose la tenue d’un tel registre.

Quelles mentions obligatoires doit comprendre votre registre ?

La première catégorie d’informations que le registre des sous-traitants RGPD doit comprendre concerne les acteurs concernés et leurs relations. Concrètement, pour chaque opération de traitement, vous devez préciser l’identité de l’entreprise responsable de traitement et le nom et les coordonnées du DPO ou de la personne effectivement responsable du traitement dans l’entreprise.

De même, si vous avez vous-mêmes des sous-traitants, vous devez indiquer ces mêmes informations d’interlocuteurs pour chacun d’entre eux.

Ensuite, vous devez indiquer les catégories de traitement, c’est-à-dire la nature des traitements au sens du RGPD, pour chaque traitement effectué pour le compte de votre responsable de traitement.

Lorsque c’est nécessaire, vous devez indiquer les transferts de données vers un pays tiers ou une organisation internationale. A noter que dans certains cas (voir l’article 49 alinéa 1 du RGPD), vous devrez ajouter des justificatifs spécifiques à cette étape.

Enfin, le registre des sous-traitants doit indiquer, dans la mesure du possible, les différentes mesures de sécurité qui ont été prises pour garantir la protection des données traitées et donc votre conformité au RGPD.

Focus sur la sécurité du traitement dans le registre des sous-traitants RGPD

Ce dernier point mérite d’être élaboré. On a dit que vous devez indiquer les mesures de sécurité qui ont été mises en place pour garantir la sécurité des données. A noter par ailleurs que ces éléments pourront également vous être demandés par votre responsable de traitement lors de son audit des sous-traitants.

L’article 30 du RGPD qui définit le contenu du registre des sous-traitants fait ici un renvoi à l’article 32 paragraphe 1, un peu plus loin donc dans le règlement européen. Ce second article a pour objet de préciser les mesures de sécurité attendues.

Celles-ci sont des “mesures techniques et opérationnelles” et peuvent être assez variées. En réalité, l’analyse des risques et l’analyse d’impact, le degré de sensibilité des données concernées et donc le niveau de risque détermine le niveau de sécurité à apporter à ces données.

Au-delà de ces premiers constats, l’article 32 recense un ensemble de techniques qui peuvent être mises en place, comme l’anonymisation ou la pseudonymisation de la donnée, la présence de mesures de secours en cas de défaillance technique ou physique, la présence de procédures de tests de la solidité des protections… la liste n’est pas exhaustive et le paysage de la cybersécurité évolue très rapidement. A noter que cet élément peut aussi concerner la protection physique de l’accès à la donnée, comme le fait d’installer un système de badges à l’entrée de vos bureaux par exemple.

Plus globalement, toutes les mesures de sécurité mises en place sont à documenter dans votre registre des sous-traitants RGPD. Rappelons que votre responsable de traitement doit obligatoirement choisir des sous-traitants présentant les garanties de sécurité suffisantes. Dans ce contexte, une documentation présentant ces mesures est également un argument commercial éventuel pour être choisi par le responsable de traitement.