Le RGPD reconnaît le rôle des sous-traitants dans le traitement de données personnelles, et leur impose des obligations particulières
Qui est concerné ?
Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte d’une autre société ou d’un organisme (le « responsable de traitement »), dans le cadre d’un service ou d’une prestation.
Vous êtes concerné, en qualité de responsable de traitement, si vous choisissez de confier la gestion de vos données personnelles à des prestataires qui seront vos sous-traitants (exemple : SSII, intégrateurs de logiciels, hébergeurs de données, experts-comptables, toute entreprise qui dans le cadre de sa mission traite pour votre compte ou celui de vos clients des données personnelles).
Vous êtes concerné, en qualité de sous-traitant, si votre entreprise traite des données personnelles sur instruction et pour le compte d’une autre société ou organisme dans le cadre d’un service ou d’une prestation (exemple : vous effectuez des opérations de comptabilité, de prospection commerciale pour le compte de vos clients).
Que doivent faire les sous-traitants ?
Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité.
Ils doivent prendre en compte l’objectif de protection des données personnelles et de la vie privée dès la conception de leur service (principe du « privacy by design ») ou de leur produit, et ils doivent mettre en place des mesures permettant de garantir une protection optimale des données.
Les sous-traitants ont également une obligation de conseil auprès de leurs clients (exemple : insister auprès de ses clients pour les mises à jour de logiciel). Ils doivent les aider dans la mise en œuvre de certaines obligations du règlement (exemple : étude d’impact sur la vie privée, notification de violation de données, sécurité, etc.).
Les sous-traitants doivent enfin tenir un registre des activités de traitement effectuées pour le compte de leurs clients en complément de leurs propres traitements !
Pour déterminer les obligations respectives des responsables de traitements et de leurs sous-traitants, il est nécessaire de rédiger un contrat.
Ce contrat doit prévoir une clause spécifique sur la protection des données personnelles.
Bonne pratique
Vous pouvez prévoir et anticiper le recours à la médiation pour gérer un potentiel conflit.