Le sous-traitant, un acteur cle du RGPD
Le sous-traitant est defini a l’article 4 du RGPD comme toute personne qui traite des donnees personnelles pour le compte du responsable de traitement. Hebergeurs cloud, editeurs de logiciels SaaS, prestataires de paie, agences de marketing : la plupart des entreprises font appel a de nombreux sous-traitants qui manipulent des donnees personnelles.
Contrairement a la directive de 1995 qui ne visait que le responsable de traitement, le RGPD impose des obligations directes au sous-traitant. Celui-ci peut desormais etre sanctionne directement par la CNIL en cas de manquement a ses propres obligations.
Les obligations specifiques du sous-traitant
Le sous-traitant ne traite les donnees que sur instruction documentee du responsable de traitement. Il ne peut pas utiliser les donnees pour ses propres finalites, sauf autorisation expresse ou obligation legale. L’article 28 du RGPD detaille les clauses qui doivent figurer dans le contrat de sous-traitance.
Le sous-traitant doit garantir la confidentialite des donnees en s’assurant que les personnes autorisees a traiter les donnees se sont engagees a respecter la confidentialite. Il met en oeuvre les mesures de securite appropriees conformement a l’article 32 du RGPD.
En cas de recours a un autre sous-traitant (sous-traitance ulterieure), le sous-traitant initial doit obtenir l’autorisation ecrite prealable du responsable de traitement, qu’elle soit specifique ou generale. Le sous-traitant ulterieur est soumis aux memes obligations de protection des donnees.
Le contrat de sous-traitance : les clauses essentielles
Le contrat doit preciser l’objet et la duree du traitement, la nature et la finalite du traitement, le type de donnees personnelles concernees et les categories de personnes concernees. Il doit egalement definir les obligations et les droits du responsable de traitement.
Les clauses relatives a la securite des donnees detaillent les mesures techniques et organisationnelles mises en oeuvre par le sous-traitant. Les modalites d’assistance du sous-traitant pour repondre aux demandes d’exercice des droits des personnes concernees doivent etre precisees.
La clause de notification des violations de donnees impose au sous-traitant d’informer le responsable de traitement dans les meilleurs delais apres en avoir pris connaissance. Le contrat prevoit egalement les conditions de restitution ou de suppression des donnees en fin de prestation.
La responsabilite du sous-traitant
Le sous-traitant qui determine les finalites et les moyens du traitement, au-dela des instructions recues, est considere comme responsable de traitement pour ce traitement. Il assume alors l’integralite des obligations du responsable de traitement.
En cas de dommage cause par un traitement, le sous-traitant n’est tenu responsable que s’il n’a pas respecte les obligations du RGPD qui lui incombent specifiquement ou s’il a agi en dehors des instructions du responsable de traitement. La CNIL a deja sanctionne des sous-traitants pour des manquements a la securite des donnees.
