Faire appel à la sous-traitance doit vous inviter à certaines précautions en termes de protection des données personnelles.
Le Règlement Général sur la Protection des Données (RGPD) instaure un principe de responsabilisation (aussi dit "accountability") de tous les acteurs impliqués dans le traitement des données personnelles (1) :
- les responsables de traitement ;
- comme les sous-traitants.
Définition : pour mémoire, le sous-traitant est, au sens du RGPD, une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (2).
Pour apprécier le niveau de responsabilité de votre sous-traitant au regard du RGPD, divers critères peuvent être étudiés, parmi lesquels :
- le niveau de surveillance que vous exercez sur la mission du sous-traitant ;
- le niveau d'autonomie et d'expertise dont dispose ce sous-traitant dans l'exécution de sa mission ;
- la confidentialité de l'existence de la relation qui vous unit au sous-traitant.
Plus votre sous-traitant est autonome dans ses missions, plus il est lui recommandé d'apporter une attention particulière au devenir des données personnelles qu'il collecte et conserve pour vous.
Ainsi, le sous-traitant doit présenter des garanties suffisantes pour assurer la sécurité et de la confidentialité des données qu'il traite, et dispose en ce sens de différentes catégories d'obligations, parmi lesquelles figurent les 3 catégories suivantes.
L'obligation de transparence et de traçabilité
Cette obligation implique que les relations entre votre sous-traitant de données et vous soient formalisées dans un contrat écrit, qui reprendra les obligations de chaque partie, la durée du contrat, les traitements qui feront l'objet de la sous-traitance, etc.
Cela nécessite que vous soyez informé des moyens mis en œuvre par le sous-traitant pour respecter le RGPD : l'inverse est aussi vrai.
Il est aussi nécessaire que votre sous-traitant recense vos instructions par écrit, et demande votre autorisation écrite avant de faire lui-même appel à un sous-traitant.
Le RGPD impose également au sous-traitant qu'il tienne son propre registre des activités de traitement effectuées pour le compte de ses clients, voire, dans certaines situations, qu'il désigne lui aussi un délégué à la protection des données.
Une obligation de garantir la sécurité des données traitées
Votre sous-traitant doit s'assurer que ses salariés et partenaires sont soumis à une obligation de confidentialité concernant les données personnelles de vos clients.
Le sous-traitant doit porter à votre connaissance toute violation de données dont il a été informé. En contrepartie, vous devez prendre, en collaboration avec lui, toutes les directives propres à garantir la sûreté des données que vous partagez.
Attention : à la fin de votre relation d'affaires, le sous-traitant devra supprimer toutes les données traitées pour vous ou vous les transmettre (sans en faire copie pour son usage personnel, sauf obligation légale).
Une obligation d'alerte et d'assistance
Votre sous-traitant doit vous apporter son assistance lorsque l'un de vos clients effectue une demande relative à la protection de ses données personnelles.
Il doit également vous informer de toute atteinte à la protection des données qu'il constate dans le cadre de vos instructions.
À noter : le sous-traitant et vous devriez travailler conjointement.
Ce que pensent nos clients :
EVELYNE R.
le 28/11/2024
Ras
Miguel R.
le 19/07/2024
De très bon conseil
Francis M.
le 28/01/2020
Rapidité, document bien rédigé (rgpd)
PIERRE P.
le 24/01/2020
Rapidité