Tous les jours, de nombreuses données personnelles transitent d’une entreprise à l’autre. Et pour cause : de nombreux organismes font aujourd’hui appel à des sous-traitants qui gèrent et manipulent des données pour leur compte. C’est peut-être d’ailleurs votre cas ! Or, la sécurisation de nos données personnelles est l’un des objectifs premiers du RGPD. Dès lors, qu’en est-il des sous-traitants ? Quelles sont leurs obligations en matière de sécurité des données ? Je vous explique tout dans cet article.
Mais d’abord… Qu’est-ce qu’un sous-traitant ?
Au regard de la CNIL, un sous-traitant est une personne morale ou physique qui traite des données pour le compte, sur l’instruction et sous l’autorité d’un autre organisme, appelé « responsable de traitement ». En clair, un organisme responsable de la gestion, de la conservation et du traitement de tout ou partie de données personnelles pour le compte d’un client est un sous-traitant. Sont principalement concernés :
- Les prestataires de services informatiques.
- Les intégrateurs de logiciels.
- Les sociétés de sécurité informatique.
- Les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients.
Par exemple, une agence qui élabore des campagnes webmarketing ciblées est un sous-traitant, puisqu’elle manie des données personnelles recueillies et transmises par un client. Un prestataire à qui l’on externalise la gestion de paie est également un sous-traitant. Il manipule les données personnelles des employés de son client. Si responsable de traitement et sous-traitant constituent deux entités juridiques bien distinctes, l’une comme l’autre a des obligations en matière de sécurité des données.
Les 4 obligations du sous-traitant
Sachez que la CNIL a sanctionné, le 27 janvier 2021, un responsable de traitement et son sous-traitant pour un manquement à leurs obligations en matière de sécurisation des données. En effet, les utilisateurs du site web du responsable de traitement ont vu leurs données exposées à un risque élevé de violation. Les deux organismes le savaient mais ont trop tardé à réagir. À la clé, une grosse amende et surtout, un message clair : en tant que sous-traitant, vous ne pouvez échapper à vos responsabilités. Alors autant les connaître ! Voici donc les obligations auxquelles vous êtes soumis au regard du RGPD :
Transparence et traçabilité
Tout transfert de données entre le responsable de traitement et son sous-traitant doit être transparent et traçable. C’est pourquoi le sous-traitant doit toujours agir sur instruction, et non de son propre chef. Il doit également tenir un registre des activités de traitement pour le compte de son client.
Par ailleurs, toute prestation de sous-traitance doit être encadrée par un contrat. Il permet aux deux parties d’organiser leurs rapports ainsi que leurs obligations respectives au regard de la protection des données. Le contrat doit notamment fixer très clairement le cadre de traitement de données pour le sous-traitant. Ainsi, il doit définir :
- L’objet, la durée, la nature et la finalité du traitement.
- Les catégories de données à caractère personnel.
- Les catégories de personnes concernées.
Il doit également préciser dans quelles conditions le sous-traitant peut lui-même faire appel à un autre sous-traitant. Une autorisation écrite du responsable de traitement est dans ce cas toujours nécessaire.
Prise en compte des principes de protection des données dès la conception et par défaut
En d’autres mots : un sous-traitant doit offrir au responsable de traitement des outils respectueux des données personnelles. Cela signifie ainsi que :
- Les outils, produits, applications ou services que le sous-traitant offre au client doivent intégrer dès leur conception les principes relatifs à la protection des données. À titre d’exemple, si le sous-traitant livre à son client un formulaire de contact pour son site web, le client doit pouvoir le paramétrer de façon à recueillir le minimum de données personnelles.
- Les outils, produits, applications garantissent que par défaut, seules les données nécessaires à la finalité du traitement sont effectivement traitées.
Sécurité des données traitées
En clair, le sous-traitant doit faire le nécessaire pour que les données de son client soient en sécurité. Il doit être en mesure de lui assurer que c’est bien le cas. Ses employés qui traitent les données pour le compte du responsable de traitement sont en outre soumis à une obligation de confidentialité. Enfin, au terme de la prestation, le sous-traitant doit :
- Supprimer toutes les données ou les renvoyer au responsable de traitement.
- Détruire les copies existantes des données, sauf s’il a une obligation légale de les conserver.
Assistance, alerte et conseil
Un sous-traitant ne peut pas fermer les yeux sur les manquements de son responsable de traitement. Par conséquent, il doit l’alerter immédiatement si l’une de ses instructions constitue une violation des règles de protection des données. Par ailleurs, si une personne exerce ses droits RGPD auprès du responsable de traitement, le sous-traitant doit faire son possible pour l’assister et lui permettre de répondre à cette demande. Enfin, le sous-traitant a un rôle de conseil. À cet effet, il doit assister son client dans la mise en œuvre de certaines obligations du RGPD : sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.
Vous l’avez compris, les obligations des sous-traitants au regard du RGPD sont nombreuses ! Établir un contrat clair avec le responsable de traitement ; documenter leur activité de sous-traitance ; proposer des outils garantissant la protection des données personnelles ; aider leur client à répondre aux demandes d’exercice des droits des personnes, ; garantir la sécurité des données : autant de prérequis indispensables pour travailler en conformité avec le RGPD. Si vous doutez de respecter les bonnes pratiques, pas de panique, je vous accompagne dans leur mise en place !
