Les bonnes pratiques à mettre en place par les sous-traitants

Le droit des données personnelles fait peser une responsabilité importante sur le responsable de traitement. Toutefois, le RGPD en a introduit une plus lourde pour le sous-traitant. La notion de sous-traitant en droit des données personnelles n’est pas la même qu’en matière de contrat ou de procédure de marchés publics. Eclairage.

© sdecoret
© sdecoret

Toute relation contractuelle mettant en jeu un traitement des données personnelles (DP) qu’ils s‘agisse d’une collecte, d’une maintenance informatique, de la mise en place d’un système de badge, d’un site internet etc. suppose de définir les rôles respectifs des parties dans ce contexte.

Comment déterminer qui est responsable de traitement et qui est sous-traitant ?

La loi définit le responsable de traitement comme celui qui détermine les finalités et les moyens d’un traitement. A l’inverse, le sous-traitant est le prestataire de services qui traite des données à caractère personnel pour le compte, sur instruction et sous l’autorité d’un responsable de traitement. Cela peut concerner une tâche précise ou des activités plus générales, comme l’envoi de courriers, la gestion d’un service de paie de salariés pour le compte d’un organisme…

  • Le sous-traitant «non-établi» au sein de l’UE, est soumis au RGPD si ses activités de traitement sont liées à l’offre de biens/services de personnes concernées dans l’UE, ou au suivi du comportement de ces personnes s’il a lieu dans l’UE (art. 3).

Sont notamment sous-traitants :

– les prestataires de services informatiques (hébergement, maintenance…) ayant accès aux données ;

– les agents de marketing ou communication qui traitent de DP pour le compte de clients ;

– et tout organisme qui offre un service ou une prestation impliquant un traitement de DP pour le compte d’un autre.

Il s’agira plus rarement d’organismes publics ou d’associations, ces entités traitant, en général, les données pour leur propre compte.

Des critères ont été définis par le groupe du G29 (qui rassemble les Cnil européennes), afin de déterminer qui est sous-traitant à travers un faisceau d’indices : l’autonomie du prestataire par rapport aux instructions du client ; le degré de contrôle/surveillance sur la prestation par le client ; la valeur ajoutée/expertise approfondie du prestataire et le degré de transparence du client sur le recours au prestataire.

Quels changements introduits par le RGPD envers les sous-traitants ? 

Deux principes nouveaux ont été mis en oeuvre par le règlement européen :

– une responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles des résidents de l’UE (en conséquence la victime peut agir contre tout maillon de la chaîne contractuelle) ;

– des obligations spécifiques imposées aux sous-traitants, telle qu’une assistance et un rôle de conseil à apporter aux responsables de traitement, dans leur propre mise en conformité des traitements.

  • Ainsi, dès lors que le sous-traitant met en œuvre un traitement de DP pour le compte d’un client, il doit offrir à ce dernier des garanties suffisantes dans la mise en œuvre des mesures techniques et organisationnelles appropriées. Egalement, être en mesure de présenter un plan de formation et de sensibilisation de son personnel, sa politique de sécurité, de gestion des habilitations, etc.

Un devoir d’assistance, d’alerte et de conseil. A ce titre, le sous-traitant est tenu

– d’informer le client de toute violation des règles en matière de protection des données, même si cette violation découle d’une de ses instructions ;

– de l’assister et l’aider dans le traitement des demandes des personnes concernées exerçant leurs droits (accès, rectification, effacement, portabilité, etc.) ;

– enfin, de l’assister et l’aider à garantir le respect de ses obligations en matière de sécurité du traitement, de notification des violations de sécurité (dans ce dernier cas, il est important de faire remonter l’information au responsable de traitement, dans les plus brefs délais).

Tout sous-traitant devra assurer la sécurité des données sous sa garde. Les mesures de sécurité devront être adaptées selon le risque encouru et définies avec le client. Ainsi, il conviendra de renforcer les obligations des salariés accédant aux données des clients. De même, un cahier des incidents devra être tenu et chaque violation de données être notifiée au client, dans les délais convenus.

Au terme de la prestation, le prestataire devra, selon les instructions de son client,  supprimer l’ensemble des données en possession du sous-traitant et de ses partenaires ou les lui renvoyer, et en détruire les copies existantes, sauf si une obligation légale oblige à les conserver.

Ces nouvelles règles contraignent le sous-traitant à revoir ses process, afin de vérifier la nature de ses relations à la fois envers ses clients, mais aussi ses propres sous-traitants et ses salariés. Il importera également de vérifier et mettre à jour sa police d’assurance.

 

Recommandations aux sous-traitants

Les sous-traitants doivent faire preuve de transparence et disposer d’outils permettant la traçabilité des actions menées. Plus précisément, leurs efforts porteront principalement sur :

– l’établissement d’un contrat avec le responsable de traitement précisant les obligations de chaque partie, ainsi que la reprise des dispositions de l’article 28 du RGPD ; ce contrat doit recenser par écrit les instructions du client sur le traitement des données personnelles ;

Tout recours à un sous-traitant ultérieur (hébergeur d’une solution SaaS, d’une société de maintenance, etc) doit être indiqué et autorisé par le client ;

– la mise à disposition du client de toutes les informations nécessaires, afin de démontrer le respect de ses obligations et permettre la réalisation d’audits ;

– la tenue d’un registre recensant les traitements opérés pour le compte des clients (responsables de traitement et  description des traitements effectués pour leur compte).