Responsabilité des sous-traitants 

Définition

Il n’est pas rare que le traitement de données à caractère personnel soit confié à un sous-traitant, qui a donc sous sa responsabilité l’ensemble des données confiées. En effet, le RGPD responsabilise désormais de manière importante les sous-traitants de données. Mais cela n’exonère en rien le responsable du traitement de ses propres obligations.

Selon l’article 4 (8) du RGPD, le sous-traitant est une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. 

Que vous soyez responsable ou sous-traitant, il convient de revoir tous vos contrats impliquant une sous-traitance des traitements de données personnelles, afin d’inclure les nouvelles mentions obligatoires instaurées par le RGPD, notamment quant aux garanties fournies par les sous-traitants.

Par exemple :     

  • SaaS ;    

  • Hébergement, y compris Cloud ;      

  • Gestion informatique ;    

  • Gestion paie, comptable...

Le sous-traitant est tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques. Ces mesures doivent apparaître dans le contrat de sous-traitance. A ce titre, selon les besoins, le sous-traitant doit recourir à :

  • Des techniques de pseudonymisation et de chiffrement des données ;

  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

  • Des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

De plus, le sous-traitant a aussi obligation d’informer le responsable du traitement s’il estime qu’une de ses instructions constitue une violation du règlement ou d’autres dispositions du droit de l’Union ou du droit des Etats membres relatives à la protection des données. 

Le sous-traitant peut adhérer à un code de conduite qui constitue un instrument de promotion de la conformité permettant aux professionnels d’un secteur de rédiger des règles détaillées régissant leurs activités de traitement classiques et codifiant des bonnes pratiques. 

Le sous-traitant peut également se soumettre à un mécanisme de certification, de marque ou de label pour démontrer qu’il dispose des garanties suffisantes. Les certifications sont délivrées sur la base des critères approuvés par la CNIL ou par le Comité européen de protection des données (CEPD – ex-G29).

Il importe de relever que la conformité aux exigences du RGPD du sous-traitant et des applications qu’il propose aux responsables du traitement est d’une importance majeure et constituera, plus encore qu’à l’heure actuelle, un véritable argument marketing auprès des clients. Toutes ces obligations doivent être formalisées et précisées dans le contrat de sous-traitance.

Quid IA et son partenaire, le cabinet Altij, peuvent vous accompagner pour que vous démontriez votre bonne conformité au RGPD en tant que sous-traitant et constituer ainsi un argument marketing auprès de vos clients.

Responsabilité

En cas de violation du RGPD, le responsable du traitement et/ou son sous-traitant  seront responsables de plein droit en cas de dommage matériel ou moral. Tous deux pourront s’exonérer de leur responsabilité s’ils démontrent que le fait ayant causé le dommage ne leur est aucunement imputable.

S’agissant du sous-traitant, ce dernier n’est responsable que s’il a manqué aux obligations lui incombant.

Par exemple : devoir de conseil en matière de sécurité, de confidentialité et d’accountability, devoir d’assistance, devoir de coopération notamment en cas de contrôle de la CNIL, nomination d’un délégué à la protection des données, tenue d’un registre de traitement, obligation de notifier toute violation des données au responsable du traitement dans les meilleurs délais) 

Cela sera également le cas s’il outrepasse les instructions qui lui avaient été données par le responsable du traitement.

Responsables conjoints du traitement

Le RGPD va plus loin que les textes de la directive du 24 octobre 1995, transposée au sein de la loi « Informatique et Libertés », et crée la notion de responsable conjoint du traitement.

Le RGPD prévoit que les responsables conjoints du traitement doivent définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du Règlement. Un contrat devra donc être signé entre les deux responsables conjoints.

Les contrats organisant les relations entre responsables conjoints devront aborder l’ensemble des sujets soulevés dans les contrats de sous-traitance : 

  • application des principes de privacy by design / by default ;

  • études d’impact, audits, notification des violations ;

  • recours à des sous-traitants ;

  • instructions, confidentialité ;

  • coopération et assistance à la conformité, etc.

En outre, un élément est plus particulièrement ciblé par le RGPD et devra recevoir une réponse claire dans les accords de coresponsabilité, à savoir l’information et l’exercice des droits des personnes concernées. C’est le point fondamental de la conformité de ces contrats.

Quid IA et son partenaire, le cabinet Altij, peuvent vous accompagner pour que vous démontriez votre bonne conformité au RGPD, notamment quant aux accords passés pour les traitements de données dont vous êtes responsable.

Notre offre vous intéresse ?

Remplissez notre formulaire de contact et nous reviendrons vers vous le plus rapidement possible.