I love SIRH

Vous êtes ici : Accueil / Actu Paie&GRH / RGPD : responsabilités et obligations des sous-traitants

RGPD : responsabilités et obligations des sous-traitants

CLUSIF-Poster-RGPD-Francais

Article mis à jour le 02/11/2018

Le RGPD (règlement européen sur la protection des données) consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE[1].

[Cliquez sur l’image ci-dessous pour l’agrandir]CLUSIF-Poster-RGPD-Francais

Il impose des obligations spécifiques aux sous-traitants qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements.
Adopté le 14 avril 2016 et applicable à partir du 25 mai 2018, le RGPD renforce les droits des résidents européens sur leurs données et responsabilise l’ensemble des acteurs traitant ces données :

  • responsables de traitement, c’est-à-dire ceux qui déterminent les finalités et les moyens d’un traitement,
  • et sous-traitants, qu’ils soient ou non établis au sein de l’Union européenne.
    Le règlement impose en effet des obligations spécifiques aux sous-traitants dont la responsabilité est susceptible d’être engagée en cas de manquement.

Ces obligations concernent tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation :

  • les prestataires de services informatiques (hébergement, maintenance…),
  • les intégrateurs de logiciels,
  • les sociétés de sécurité informatique,
  • les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données,
  • les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients.

La qualité de sous-traitant

Une très grande variété de prestataires de services a la qualité de sous-traitant au sens juridique du terme.
Les activités des sous-traitants peuvent concerner une tâche bien précise ou être plus générales et étendues telles que la gestion de l’ensemble d’un service pour le compte d’un autre organisme comme par exemple la gestion de la paie des salariés.
Un organisme qui détermine la finalité et les moyens d’un traitement doit être considéré comme le responsable du traitement et non qualifié de sous-traitant.
Ne sont pas concernés, dans la mesure où ils n’ont pas accès et ne traitent pas de données à caractère personnel, les éditeurs de logiciels ou les fabricants de matériels (badgeuse, matériel biométrique, matériel médical).

Périmètre et objet de l’intervention d’un sous-traitant auprès de ses clients concernés, à compter du 25 mai 2018 :

  • Analyses d’impact.
  • Notification de violation.
  • Sécurité.
  • Destruction des données.
  • Contribution aux audits.

Tous les contrats de sous-traitance en cours d’exécution devront comprendre, au 25 mai 2018, les clauses obligatoires prévues par le règlement européen.

Obligations pesant sur les sous-traitants

Le sous-traitant doit offrir au client « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen).
Ces garanties portant sur la mise en œuvre des mesures de sécurité et de confidentialité ont trait à l’article 34 de la loi Informatique et Libertés (Loi n° 78-17 du 6 janvier 1978).
Toutefois, cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

1) Une obligation de transparence et de traçabilité

Le sous-traitant est tenu de :

  • partager avec chacun de ses clients concernés, un contrat qui précise les obligations de chaque partie en conformité avec l’article 28 du règlement européen,
  • recenser les instructions documentées du responsable du traitement de chacun de ses clients,
  • tenir un registre des activités de traitement effectuées pour le compte de chacun de ses clients,
  • mettre à la disposition de chacun de ses clients les informations utiles à la réalisation d’audits et à la démonstration du respect de ses obligations.

2) La prise en compte des principes de protection des données dès la conception, et de protection des données par défaut

Afin de répondre aux exigences du règlement européen et de protéger les droits des personnes concernées, le sous-traitant doit faire en sorte de ne collecter que les données strictement nécessaires à la finalité du traitement (minimisation des données) et aussi, que les outils, produits, applications et services mis à la disposition de chacun de ses clients ne traitent que les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.

3) Une obligation de garantir la sécurité des données traitées

Les employés du sous-traitant, qui traitent les données de clients du sous-traitant, sont soumis à une obligation de confidentialité.
Le sous-traitant est tenu de notifier à son client toute violation de ses données.
Le sous-traitant doit prendre toutes les mesures utiles pour garantir un niveau de sécurité adapté aux risques.

Au terme de sa prestation et selon les instructions de son client, le sous-traitant doit s’engager à :

  • supprimer toutes les données ou à les renvoyer au client,
  • détruire les copies existantes sauf obligation légale de les conserver.

4) Une obligation d’assistance, d’alerte et de conseil

Compte tenu des informations dont il dispose, le sous-traitant peut proposer son aide à son client dans l’objectif de garantir le respect des obligations en matière de :

  • sécurité du traitement,
  • notification de violation de données
  • d’analyse d’impact relative à la protection des données.

Si le sous-traitant reçoit de la part d’un client une instruction qui constitue une violation des règles en matière de protection des données, le sous-traitant doit l’en informer.
Lorsqu’une personne exerce ses droits (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée – y compris le profilage), le sous-traitant doit apporter, dans toute la mesure du possible, son aide à son client afin de donner une suite favorable à la demande.

Risques et nouveaux enjeux de gouvernance

Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant.

Recommandations pour engager la mise en conformité avec le RGPD

Le sous-traitant est tenu d’aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements.
Le sous-traitant pourra communiquer au responsable de traitement chez le client, le nom et les coordonnées de son délégué à la protection des données, s’il en a été désigné un conformément à l’article 37 du règlement européen sur la protection des données.

1) Déterminer si vous êtes soumis au règlement européen sur la protection des données

Que vous soyez établi ou non dans l’UE, si vos activités de traitement sont liées à l’offre de biens ou de services à destination des personnes dans l’UE, ou encore si les vos traitements concernent le comportement desdites personnes, alors vous entrez dans le champ du règlement européen en tant que responsable des traitements et/ou sous-traitant.

Texte officiel de référence

  • Article 3 du règlement européen sur le champ d’application territorial

2) Déterminer qui est sous-traitant, et qui est responsable du traitement

Textes officiels de référence

  • L’avis 1/2010 du groupe des CNIL européennes (G29) du 16 février 2010 précise le faisceau d’indices à utiliser dans le cadre d’une analyse au cas par cas
  • Article 4 du règlement européen pour les définitions du responsable du traitement et du sous-traitant
  • Article 28.10 du règlement européen sur la notion de responsable du traitement

3) Informer les salariés, partenaires, clients et sous-traitants du renforcement du droit des personnes par le RGPD

  • Quiconque bénéficiera du droit de demander et d’obtenir la confirmation auprès d’une entreprise/organisation que celle-ci détient ou non des données à caractère personnel le concernant.
    Article 15 et considérants 63) et 64) du RGPD.
  • Quiconque communiquera ses données personnelles bénéficiera du droit de recevoir en contrepartie les informations relatives aux caractéristiques du traitement dont elle feront l’objet (finalité, durée, transfert éventuel, responsable(s)…), et aux modalités d’accès, de rectification, de retrait et de réclamation.
    Articles 12 et 13 et  considérants 60) à  62) du RGPD.
    Groupe de travail «Article 29», Lignes directrices sur la transparence prévue par le règlement (UE) 2016/679 (WP 260)
  • Quiconque aura le droit de demander s’il a été ciblé par des techniques de profilage, et comment (cf. les professionnels du recrutement).

Textes officiels de référence

Mes droits | Commission européenne http://ow.ly/8eOh30iUSVO

____________________

Pour aller plus loin :

À propos Philippe Donnart

Webmaster depuis le début du siècle, j'aide les professionnels des ressources humaines à accroître leur visibilité en ligne. Avec mon expertise en création de sites web performants et en stratégies de marketing digital, je vous accompagne pour optimiser votre présence sur internet et atteindre vos objectifs de communication.

error: ©SpotPink