- Le blog et les actualités de Witik
- Sous-traitants et RGPD : quelles sont vos obligations ?
Sous-traitants et RGPD : quelles sont vos obligations ?
:format(webp))
Le recours aux services d’un sous-traitant au sens du RGPD est très fréquent pour les entreprises. Le sous-traitant apparaît dès qu’un tiers se charge du traitement effectif des données collectées. C’est le cas par exemple de certains prestataires de gestion de paye ou de comptabilité, de services d’analyses de données, d’agences de publicité digitales… les exemples sont très nombreux.
Or le RGPD encadre les sous-traitants et la relation qu’ils lient avec leur donneur d’ordre, qu’on appelle dans le cadre du règlement le responsable du traitement. Recourir aux services d’un sous-traitant impose de respecter un certain nombre d’obligations et peut être source de risque juridique pour votre entreprise. Il est donc nécessaire de s’y préparer, notamment en menant un audit de vos sous-traitants.
D’où l’importance aussi de bien comprendre la définition du sous-traitant au sens du RGPD, c’est-à-dire le champ d’application des obligations spécifiques qui le concernent. Nous verrons aussi quel est le partage des responsabilités entre le sous-traitant et le responsable du traitement et enfin quelles sont vos obligations en tant que responsable de traitement envers vos sous-traitants.
Qu’est-ce qu’un sous-traitant au sens du RGPD ?
La définition du sous-traitant selon le RGPD est relativement large. Un sous-traitant est ainsi une personne (y compris une personne morale comme une entreprise) qui traite des données pour le compte d’un tiers (une autre entreprise, par exemple).
Ce traitement a lieu dans le cadre d’un service ou d’une prestation donc dans le cadre d’un contrat qui lie ces deux personnes, le sous-traitant et la personne pour laquelle il traite les données, qu’on appelle le responsable du traitement.
La définition du sous-traitant est donc différente dans le cadre du RGPD que dans le sens commun du terme. Un fournisseur d’équipements, qui sera donc potentiellement un sous-traitant au sens large, ne sera pas considéré comme un sous-traitant par le RGPD.
Un élément important est que le fait d’être sous-traitant ou responsable de traitement n’est pas une question de nature mais dépend de la relation. En d’autres termes, vous pouvez être sous-traitant pour un traitement donné et responsable du traitement pour un autre.
Il faut donc se poser la question pour chaque traitement de données pris séparément.
Au-delà de cette définition, il faut comprendre que cette relation particulière de votre entreprise avec vos sous-traitants vous engage. Un certain nombre d’obligations sont mises en place, d’une part pour vous en tant que responsable du traitement et d’autre part pour votre sous-traitant.
Quelle est la répartition des responsabilités entre les parties ?
La question du partage de la responsabilité entre le responsable de traitement et le sous-traitant dans le RGPD n’est pas simple. En effet, on peut partir du principe que le responsable de traitement a une responsabilité plus large. C’est le sens de l’article 82 du RGPD, qui précise que le “sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants (…). L’idée est donc plutôt d’une responsabilité du responsable de traitement.
Néanmoins, l’article 28 du RGPD détaille certaines obligations du sous-traitant. Concrètement, il ne doit effectuer un traitement de données que s’il en a reçu instruction documentée de la part du responsable de traitement. D’autre part, il doit prendre toutes les mesures pour protéger la donnée et en garantir sa sécurité. Enfin, il a une obligation de conseil envers le responsable de traitement, c’est-à-dire qu’il doit l’aider à prendre les bonnes mesures pour protéger les données.
Concrètement, le sous-traitant pourra être tenu responsable pour ses propres actions s’il n’exécute pas ou pas bien les instructions licites de son partenaire ; ou bien s’il exécute une instruction manifestement illicite (dans ce cas, il n’a pas bien suivi son devoir de conseil du responsable de traitement).
L’esprit du RGPD est que le sous-traitant et le responsable de traitement doivent travailler ensemble à la protection des données.
Sous-traitants et RGPD : vos obligations en tant que responsable de traitement
RGPD : un sous-traitant oui, mais le bon !
En tant que responsable du traitement, votre première obligation est de bien choisir votre sous-traitant dans le cadre du RGPD. En effet, le texte précise que le responsable doit faire appel uniquement à des sous-traitants présentant des “garanties suffisantes” en termes de mise en oeuvre de “mesures techniques et organisationnelles appropriées” à la protection des données personnelles collectées (article 28).
Nous vous invitons à consulter notre livre blanc pour vous aider à bien choisir vos sous-traitants.
Contractualisation de la relation entre sous-traitant et responsable de traitement
Toute la durée de la relation entre le sous-traitant et le responsable de traitement est encadrée par le texte. Notamment, le contrat qui les lie doit inclure plusieurs mentions obligatoires. Celles-ci visent à organiser les rapports et obligations respectives des parties en ce qui concerne la protection des données, notamment en ce qui concerne les obligations de conseil et d’entraide réciproque.
Le contrat doit également encadrer et définir précisément le traitement opéré. En effet, le sous-traitant ne doit opérer un traitement que sous l’instruction précise de son responsable de traitement, lequel aura éventuellement au préalable reçu le consentement de l’utilisateur.
Enfin, le contrat doit préciser les conditions dans lesquelles le sous-traitant peut lui-même et à son tour éventuellement faire appel à un autre sous-traitant au sens du RGPD.
Autres obligations imposées par le RGPD aux sous-traitants et responsables de traitement
Globalement, le responsable de traitement doit s’assurer que le sous-traitant respecte le RGPD à tout moment. Pour cela, il doit notamment avoir accès à une documentation qui sera tenue par le sous-traitant sur la manière dont il traite les données confiées et surtout sur les mesures prises pour les protéger. Cette documentation est notamment nécessaire pour l’audit des sous-traitants à réaliser par le responsable de traitement.
Ensuite, le sous-traitant au sens du RGPD doit aider le responsable de traitement à répondre aux demandes d’exercice des droits des personnes qui peuvent lui être adressées (droit d’effacement, droit d’accès…). Il doit faciliter leur mise en oeuvre, dans la mesure où c’est souvent lui qui dispose des moyens concrets et techniques de leur exécution.
Plus généralement, le sous-traitant et le responsable de traitement doivent travailler main dans la main pour assurer la meilleure protection et sécurisation des données collectées. Cela passera en particulier par l’utilisation d’outils respectueux des données personnelles et par un accompagnement réciproque (notamment dans le cadre du devoir de conseil et d’assistance qui pèse sur le sous-traitant à l’égard de son responsable de traitement).
La logique du texte est donc de mettre en place une co-responsabilité entre les acteurs, dans une visée d’auto-contrôle. L’idée est de responsabiliser l’ensemble des acteurs économiques aux bonnes pratiques sur la protection des données.
Si vous souhaitez découvrir comment auditer vos sous-traitant, nous avons rédigé un livre rien que pour vous !
:format(webp))
:format(webp))
:format(webp))
