Les sous-traitants

Les sous-traitants
Article RGPD

Sujet déjà abordé à l’occasion des sanctions prononcées par la CNIL, les sous-traitants continuent de soulever trois questions essentielles :

  • Qui sont-ils ?
  • Comment les encadrer ?
  • Comment m’assurer qu’ils sont bien conformes ?

Qui sont les sous-traitants ?

Selon le RGPD, le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement» (article 4.8 du RGPD). La CNIL complète cette définition dans son glossaire en indiquant que le sous-traitant « traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation. »

En pratique, les sous-traitants sont généralement des prestataires de services : hébergeurs, service de maintenance, ou encore des organismes qui interviendront sur une partie de vos activités (société de recouvrement de créances, centre d’appel externalisés, etc.).

Dès lors qu’ils traitent des données à caractère personnel pour votre compte : ils sont sous-traitants.

Attention ! Des organismes comme des mutuelles, la CNAMTS, la médecine du travail, etc. ne sont pas des sous-traitants ! Ils sont de simples destinataires de données que l’on pourrait qualifier par exemple de « partenaires sociaux ».

Maintenant que l’on distingue bien qui est qui, abordons la question suivante…

Comment encadrer mes sous-traitants ?

Le RGPD prévoit un lot d’obligations propres au sous-traitant. Il prévoit également l’obligation de mettre en place un contrat qui encadrera spécifiquement la sous-traitance (article 28.3 du RGPD).

Le contrat doit être vu comme un outil qui permettra d’organiser la mise en œuvre du traitement et également la gestion de certaines obligations. Dans le glossaire de la CNIL, on peut d’ailleurs lire : « Les sous-traitants ont des obligations concernant les données personnelles, qui doivent être présentes dans le contrat :

  • Une obligation de transparence et de traçabilité ;
  • La prise en compte des principes de protection des données dès la conception et par défaut ;
  • Une obligation de garantir la sécurité des données traitées ;
  • Une obligation d’assistance, d’alerte et de conseil […] »

Les clauses essentielles à mettre en place d’un contrat de sous-traitance seront :

  • La description du traitement sous-traité et l’interdiction de traiter les données pour des fins différentes de celles des instructions du responsable du traitement : l’objectif est de prévenir tout détournement de finalité ;
  • La gestion des obligations en matière d’information et des droits des personnes : déterminer si le sous-traitant pourra traiter directement les demandes ou s’il devra vous aider, et dans ce cas, comment ;
  • La gestion des violations de données : prévoyez un process qui permettra au sous-traitant de vous notifier sans tarder en cas de violation ;
  • Le descriptif des mesures de sécurité attendues : ne laissez pas au hasard cet élément ! La sécurité est une obligation essentielle du RGPD. Déterminez en amont de toute sous-traitance quelles sont les mesures de sécurité dont vous avez besoin ;
  • La restitution et la suppression des données et de leurs copies en fin de prestation.

Enfin, on peut citer l’inclusion d’une clause d’audit dans les contrats de sous-traitance. Cette clause doit permettre au responsable de traitement de pouvoir vérifier que son sous-traitant présentera les « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. » (article 28.1 du RGPD)

Comment m’assurer que mes sous-traitants sont bien conformes ?

La vérification des garanties appropriées doit être réalisée en amont de la sous-traitance mais aussi pendant que cette sous-traitance existera.

Voici quelques conseils :

  • Prévoyez un cahier des charges : précisez vos attentes particulières (sécurité, process, etc.) et vérifiez auprès de vos prestataires potentiels qu’ils pourront bien le remplir ;
  • Joignez-y un questionnaire à vos prestataires potentiels : le but sera de vérifier qu’ils ont bien conscience de leurs propres obligations (DPD, registre, PIA, …). Un sous-traitant qui n’a aucune connaissance sur le RGPD est un risque pour vous !

Si vous êtes un organisme public, pensez à inclure les nouvelles exigences du RGPD dans vos appels d’offre, cela simplifiera ces démarches.

Quelques ressources pour vous aider !

N’oubliez pas que la CNIL a publié son Guide du Sous-traitant qui vous fournira quelques indices quant à la gestion de ces acteurs. Plus récemment encore, la Commission européenne a publié des clauses contractuelles types qui peuvent être utilisées pour les contrats de sous-traitance.

Et s’il vous reste des questions : nous sommes là pour y répondre !

Partager l'article

Articles similaires

Sous-traitant : soyez prêt à démontrer votre conformité !
Article RGPD

Sous-traitant : soyez prêt à démontrer votre conformité !

Comment faire pour démontrer sa conformité en tant que sous-traitant
Lire la suite
Les transferts hors UE | Episode 5: Les dérogations
Article RGPD

Les transferts hors UE | Episode 5: Les dérogations

Les règles d’entreprise contraignantes font partie des garanties appropriées permettant d’encadrer les transferts hors UE.
Lire la suite