Gérer la relation avec le sous-traitant

Qu’est-ce qu’une sous-traitant ?

Au sens du RGPD, le sous-traitant (ST) est la personne physique ou morale qui traite des données personnelles sur instruction et pour le compte du responsable de traitement (RT) dans le cadre d’un service ou d’une prestation.

le responsable de traitement (RT) va donc confier la gestion de ses données personnelles à des prestataires qui seront ses sous-traitants. 
Le plus souvent les RT ont recours aux sous-traitant (ST) suivants : 

• intégrateurs de logiciels ;
• hébergeurs de données ;
• opérations de prospections commerciales ;
• prestataires de services informatiques ;
• agences de marketing ou de communication. 

Quels sont les prés requis avec de s’engager avec un Sous-traitant ?

Une grande partie du travail de conformité RGPD à mener et de s'assurer de travailler avec des ST qui respectent la réglementation en matière de données personnelles.

Pour cela, le responsable de traitement (RT) doit : 

• vérifier que le sous-traitant (ST) répond aux obligations imposées par le RGPD ; 
• s’assurer que le sous-traitant (ST) dispose de mesures de sécurités et de confidentialité adaptées ;
• s’assurer que le sous-traitant (ST) ne transfère pas les données personnelles traitées à des tiers sans autorisation préalable du responsable de traitement (RT) ;
• mettre en place un contrat de sous-traitance. 

Quelles sont les obligations inhérentes au sous-traitant dans le cadre du RGPD ?  

• Une obligation de transparence et de traçabilité à l’égard du responsable de traitement (RT) qui l’oblige notamment à :
  • garantir la mise en œuvre de mesures techniques et organisationnelles appropriées au traitement envisagé ;
  • traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ;
  • traiter les données conformément aux instructions du responsable de traitement (RT) ;
  • informer le responsable de traitement (RT) si une de ses instruction constitue une violation du RGPD ;
  • informer le responsable de traitement (RT) en cas de transfert obligatoire des données vers un pays tiers ou une organisation internationale ;
  • prendre en compte les principes de protection des données dès la conception du traitement et de protection des données par défaut ;
  • garantir la confidentialité des données à caractère personnel traitées et veiller à ce que les personnes ayant accès à ces données soient soumis à une obligation de confidentialité ; 
  • tenir à jour un registre des activités de traitement effectuées pour le compte du responsable de traitement (RT) ;  
  • recenser par écrit les instructions du responsable de traitement (RT) relatives aux traitements de ses données ; 
  • demander l’autorisation écrite du responsable de traitement (RT) pour faire appel à un autre sous-traitant (ST) ; 
  • mettre à la disposition du responsable de traitement (RT) toutes les informations nécessaires pour démontrer le respect de ses obligations.
• Une obligation de garantir la sécurité et la confidentialité des données traitées ;
• Une obligation d’assistance, d’alerte et de conseil auprès du responsable de traitement (RT) dans sa démarche de mise en conformité des traitements à la réglementation. Cela peut impliquer : 
  • la contribution aux audits ;
  • permettre aux personnes concernées d’exercer leurs droits ;
  • aider à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.

Que doit contenir le contrat entre le responsable de traitement (RT) et le sous-traitant (ST) ? 

Pour déterminer les obligations respectives du responsable de traitement (RT) et de son sous-traitant (ST), la rédaction d’un contrat est primordiale. 

Le contrat de sous-traitance devra indiquer notamment : 

• l’objet et la durée de la prestation ;
• la nature et la finalité du traitement ;
• le type de données à caractère personnel traitées ;
• les catégories de personnes concernées ;
• les obligations et les droits du responsable de traitement (RT) et notamment :
  • documenter par écrit toute instruction concernant le traitement des données par le sous-traitant (ST), 
  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par RGPD de la part du sous-traitant (ST), 
  • superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant (ST),
• les obligations et les droits du sous-traitant (ST) en matière : 
  • de transparence et de traçabilité, 
  • de sécurité,
  • d’assistance, d’alerte et de conseil 
• prévoir si le sous-traitant (ST) peut faire appel à un autre ST et les modalités de mise en œuvre de cette sous traitance ;
• confidentialité des données échangées pour l’exécution du contrat ;
• la personne en charge de l’information des personnes concernées ;
• responsabilité en cas de non-respect du contrat ;
• sort des données aux termes du contrat ;
• les coordonnées du Délégué à la protection des données si le sous-traitant (ST) en a désigné un ;
• le contenu du Registre des catégories d’activités de traitement tenu par le sous-traitant (ST) ;
• prévoir  le recours à la médiation pour gérer un potentiel conflit ;
• Loi et droit applicable au contrat. 

Le sous-traitant doit-il désigner un DPO ? 

• le nom et les coordonnées de l’entreprise ;
• les catégories de traitements effectués pour le compte de chaque client ;
• pour chaque catégorie de traitement répertoriée, le sous-traitant (ST) doit indiquer : 
  • le nom et les coordonnées du client pour le compte duquel il traite des données, 
  • le nom et les coordonnées du sous-traitant (ST) auquel il peut lui-même faire appel, le cas échéant, 
  • le nom et les coordonnées du délégué à la protection des données, le cas échéant, 
  • les transferts de données hors UE éventuellement effectués pour le compte du client, le cas échéant, 
  • une description générale des mesures de sécurité techniques et organisationnelles mises en place. 

Un ST peut-il fait appel à un autre ST ? 

Le sous-traitant (ST) ne peut recruter un autre ST qu’après avoir obtenu l’autorisation écrite du responsable de traitement (RT).  

Le sous-traitant (ST) est pleinement responsable du sous-traitant (ST) recruté. 

Quel se passe-t-il en cas de violation des données ? 

En cas de faille de sécurité et violation des données personnelles, le sous-traitant (ST) doit en informer le responsable de traitement (RT) dans les meilleurs délais.

le responsable de traitement (RT) doit ensuite notifier cette violation de données à l’autorité de contrôle compétente et communiquer à la personne concernée une telle violation. 
Le contrat entre le sous-traitant (ST) et le responsable de traitement (RT) peut prévoir qu’il revient au ST d’effectuer pour le compte du responsable de traitement (RT) la notification auprès de l’autorité de contrôle compétente et aux personnes concernées.

Quelles sont les obligations applicables au sous-traitant (ST) établi hors de l’UE ?

• qu’il procède, pour le compte de votre client, à des traitements de données de personnes se trouvant dans l’UE
• qu’il offre, pour le compte de votre client, des biens ou des services ou suivez le comportement de ces personnes.

Le sous-traitant (ST) doit alors désigner un représentant dans l’UE pour être l’interlocuteur des personnes concernées et des autorités de contrôle pour toute question relative aux traitements.

Quelles sanctions en cas de non-respect des obligations par le sous-traitant (ST) ? 

En cas de violations des obligations imposées par le RGPD, les sanctions pécuniaires peuvent atteindre jusqu’à 4% du chiffre d'affaires annuel de l’entreprise sous-traitante.