Par Gérard HAAS et Axelle POUJOL
Le règlement européen sur la protection des données (RGPD), entré en vigueur en 2018, a transformé le droit des données. En France, depuis 1978, la loi informatique et libertés portait les grands principes en la matière. Aujourd’hui, avec le nouveau règlement, cette loi a été adaptée afin d’harmoniser notre droit avec le droit de toute l’Union Européenne.
1. La définition du responsable de traitement
Pour comprendre la notion de sous-traitant, il faut avoir à l’esprit celle du responsable de traitement : le RGPD définit ce dernier comme celui « qui détermine les finalités et les moyens d’un traitement ».
2. La définition du sous-traitant
Le sous-traitant au sens du RGPD est celui qui traite des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement. Une grande variété de prestataires est ainsi concernée :
-
Les prestataires informatiques
-
Les agences de marketing ou de communication
-
Plus généralement, tout organisme offrant une prestation impliquant un traitement de données à caractère personnel
Afin de déterminer si vous êtes un sous-traitant ou un responsable de traitement au sens du RGPD, la CNIL vous propose quelques outils d’analyse au cas par cas, notamment [1] :
-
Le niveau d’autonomie : quel est le niveau d’instruction donné par le client ?
-
Le contrôle opéré par le client : quel est le niveau de « surveillance » de la prestation par le client ?
-
La valeur ajoutée du prestataire : le prestataire dispose-t-il d’une expertise approfondie dans le domaine ?
-
Le degré de transparence sur le recours à un prestataire : le prestataire est-il connu des personnes concernées qui utilisent le service du client ?
3. Les obligations et la responsabilité du sous-traitant
En tant que sous-traitant, tout organisme a des obligations et peut voir sa responsabilité engagée. Ces obligations sont notamment les suivantes :
-
Une obligation de transparence et de traçabilité : établir un contrat avec le client précisant les obligations du prestataire, recenser les instructions données par le client, mettre à disposition du client les informations nécessaires démontrant le respect des obligations de sous-traitant, demander l’autorisation de recourir à un sous-traitant, établir un registre des traitements ;
-
La prise en compte des principes de protection by design et de protection by default : pour en savoir plus sur ces principes – insérer l’article ;
-
Une obligation de garantir la sécurité des données traitées : obligation de garantir la confidentialité des données, obligation de notifier toute violation des données au responsable de traitement, obligation de prendre les mesures nécessaires pour garantir la sécurité des données, éventuellement désigner un DPO (pour en savoir plus sur le DPO, cliquez ici) ;
-
Une obligation d’alerte, d’assistance et de conseil : aider le responsable de traitement dans la gestion des demandes des personnes concernées, l’informer sur les risques éventuellement engendrés par une instruction, et plus généralement aider le client à respecter ses obligations en matière de protection des données.
Cette liste non exhaustive d’obligations conduit à la possibilité d’engager la responsabilité du sous-traitant si celui-ci ne démontre pas le respect de ses obligations. Il faut donc faire preuve de vigilance lors de la réalisation de tout traitement de données en tant que sous-traitant.
***
***
[1] CNIL, Règlement européen sur la protection des données personnelles – Guide du sous-traitant – Edition septembre 2017