La conformité des sous-traitants avec le RGPD
Applicable dès le 25 mai 2018, le règlement européen sur la protection des données personnelles vient bouleverser en profondeur les pratiques des entreprises et notamment des sous-traitants. Ceux-ci risquent en effet de voir leur responsabilité engagée en cas de manquements à leurs obligations.
Qui est considéré comme un sous-traitant par le RGPD ?
Vous êtes considéré comme un sous-traitant si vous effectuez un traitement de données à caractère personnel pour le compte, sur instruction et sous l’autorité d’un responsable de traitement. Ainsi, un grand nombre de prestataires de services est englobé dans la définition, qu’ils s’occupent d’une partie du traitement ou de sa globalité. À l’inverse, comme le prévoit l’article 4 du RGPD, n’est pas un sous-traitant mais un responsable de traitement la personne qui en détermine la finalité et les moyens.
En tant que sous-traitant, entrez-vous dans le champ d’application du RGPD ?
La réponse est oui si votre entreprise effectue le traitement dans l’un des pays membres de l’Union. Si elle n’est pas domiciliée dans un pays de l’UE, mais que les personnes concernées par le traitement de données sont résidentes de l’UE, vous devez également vous conformer aux prescriptions du RGPD en vertu de son article 3.
Quels sont les changements introduits par le RGPD ?
Sous l’égide de la loi Informatique et Libertés, encore en vigueur jusqu’au 25 mai 2018, seuls les responsables de traitement pouvaient voir leur responsabilité engagée sur le fondement du manquement à leurs obligations. En effet, le sous-traitant ne pouvait agir que sur instruction du responsable, et même si le sous-traitant devait assurer la sécurité et la confidentialité des données à caractère personnel, le responsable du traitement répondait seul du respect de ces dispositions.
Désormais, et en vertu du principe de responsabilisation introduit par le RGPD, tous les acteurs du traitement peuvent voir leur responsabilité engagée, ce qui inclut les sous-traitants, à condition que le traitement concerne des citoyens de l’Union européenne.
Le sous-traitant a également maintenant l’obligation d’aider les responsables de traitement à se maintenir en permanence en conformité avec le RGPD.
Quelles sont les nouvelles obligations qui pèsent sur les sous-traitants ?
Selon l’article 28 du RGPD, le sous-traitant doit offrir au responsable de traitement « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Ainsi, vous êtes soumis à une obligation de transparence et de traçabilité, qui porte sur les relations contractuelles avec le responsable de traitement. Vous devez notamment :
- Rédiger un contrat précisant les obligations de chacun
- Inventorier sur un écrit les prescriptions du responsable à propos du traitement
- Si vous faites vous-même appel à un sous-traitant, vous devez demander l’autorisation écrite du responsable
- Maintenir à la disposition du responsable du traitement toutes les informations qui démontrent le respect des obligations mises à votre charge
- Tenir à jour un registre qui recense tous les traitements que vous effectuez.
Vous êtes également tenu de garantir la sécurité des données que vous recueillez dans le cadre des traitements. Ainsi vous devez :
- Vous assurer que dans votre entreprise, les salariés qui manipulent les données respectent bien une obligation de confidentialité.
- Informer le responsable de traitement en cas de violation des données
- Assurer la sécurisation des données et adapter celle-ci aux risques encourus
- Lorsque le traitement est terminé, vous devez soit supprimer les données (originales et copies), soit les remettre à votre client, à moins qu’il ne pèse sur vous une obligation légale de les conserver.
Enfin, vous êtes soumis à une obligation d’assistance, de conseil et d’alerte. Ainsi, il vous appartient de prévenir le responsable si l’un des moyens ou si la finalité du traitement envisagé viole la réglementation. De la même manière, vous devez aider le responsable à accéder à la demande d’une personne qui souhaite exercer l’un de ses droits (portabilité, accès aux données, etc.).
Quelles sont les sanctions encourues en cas de non-respect des obligations du sous-traitant ?
Le principe de responsabilisation introduit par le RGPD loge tout le monde à la même enseigne. En cas de manquement aux obligations, que vous soyez responsable de traitement de données ou sous-traitant, vous risquez une amende de 2% ou 4% du chiffre d'affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.