RGPD et sous-traitance : quelles obligations ?

Le RGPD, entré en vigueur depuis maintenant plusieurs mois, a pour principal objectif de définir de manière précise les différents flux de données et la façon dont ils sont traités et transitent d’une structure à une autre. À un niveau ou un autre, la majorité des entreprises est donc concernée et chaque base de données nécessite d’être traitée afin d’être mise en conformité avec les exigences du Règlement Général sur la Protection des Données. La principale difficulté de cette mise en conformité réside dans les cas fréquents de sous-traitance et donc de circulation des données personnelles. Dès lors, comment allier sous-traitance et conformité au RGPD ?

Qu’est-ce qu’un sous-traitant ?

Dans le cadre de l’application du RGPD et au regard de la CNIL, organisme en charge de la bonne application du règlement européen en France, est considéré comme sous-traitant toute structure “traitant des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement.”

Lorsqu’une entreprise gère, conserve, traite la totalité ou une partie de certaines données personnelles pour le compte d’un ou plusieurs clients, elle est donc considérée comme étant un sous-traitant. De manière non exhaustive, cette définition concerne la plupart des prestataires de services informatiques et numériques, les agences de communication, des entreprises de ressources humaines et services marketing, mais aussi des organismes ou associations publics amenés à traiter des données personnelles pour le compte d’autres sociétés.

Rappelons que dans le cadre du traitement de données personnelles, le sous-traitant et le responsable de traitement sont deux entités bien distinctes. Le RGPD définissant le responsable de traitement comme étant “la personne physique ou morale, une autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel”. Le sous-traitant étant défini comme la personne physique ou morale en charge de traiter ce flux de données à la demande et pour le compte de la structure responsable du traitement.

Selon les données traitées, il est donc probable qu’une société se retrouve à la fois sous-traitante et responsable de traitement. Le meilleur moyen d’y voir plus clair étant de localiser les données personnelles transitant dans une société, tout en retraçant leur parcours exact.

Les obligations des sous-traitants vis-à-vis du RGPD

Bien que le Responsable de traitement soit toujours en première ligne en ce qui concerne le traitement des flux de données personnelles et leur contrôle, le RGPD a étendu les responsabilités du sous-traitant, qui n’est donc pas en reste en termes d’obligations et donc de sanctions. D’après la CNIL, les obligations du sous-traitant dans le cadre du Règlement Général pour la Protection des Données peuvent être organisées en quatre grands domaines :

L’obligation de traçabilité et de transparence

Le parcours des données personnelles entre le responsable de traitement et les sous-traitants, ainsi que les transformations subies par ces dernières dans le cadre de leur sous-traitance doivent être parfaitement transparentes. Les deux parties doivent donc contractualiser, si ce n’est déjà fait, leurs obligations respectives et le spectre général des missions qui leur incombent. Le but pour le sous-traitant étant de posséder un document répertoriant clairement les actions qu’il peut mener sur les données personnelles transmises par son client ou bien gérées pour son compte.

Si le sous-traitant fait également appel de son côté à un sous-traitant pour traiter à nouveau certaines données personnelles transmises par la structure cliente, il doit avoir obtenu au préalable l’accord explicite de cette dernière. Chaque changement de sous-traitant entraînant une modification du flux des données doit donc faire l’objet d’une notice d’information, voire d’un nouvel accord avec le client selon les termes du contrat initial.

Sur ce point, le RGPD est particulièrement clair : “Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.”

La nécessité de prise en compte des grands principes de protection des données

En amont même de leur conception, l’ensemble des outils et services d’un sous-traitant doit désormais prendre en compte les exigences du RGPD afin d’être en conformité avec ces dernières en termes de protection des données personnelles.

Le sous-traitant doit par ailleurs être en mesure de garantir que les seules données qui seront conservées et traitées sont celles en rapport avec la mission qui lui a été confiée et qu’elles le seront uniquement par les personnes habilitées à le faire.

L’obligation d’assurer et garantir la sécurité des données personnelles traitées

Le sous-traitant doit être en mesure d’assurer à la structure cliente que les données qui lui ont été confiées sont bien en sécurité. L’ensemble du personnel traitant ces données personnelles est en outre soumis à une obligation de confidentialité vis-à-vis de ces informations.

Au terme de sa prestation, le sous-traitant doit procéder, selon la volonté de son client, à la remise de ces données à ce dernier, ou bien à leur suppression, sauf si en vertu d’une obligation légale, le sous-traitant doit au contraire les conserver.

L’obligation d’alerte, d’assistance et de conseil

Le sous-traitant, en charge du traitement de données personnelles pour le compte du responsable de traitement (son client), doit être en mesure d’accompagner ce dernier et de le conseiller en matière de bon usage des informations traitées.

Par ailleurs, il incombe au sous-traitant d’alerter son client dès lors qu’un risque se présente concernant les données elles-mêmes ou bien leur traitement. La structure sous-traitante est ainsi dans l’obligation d’avertir la structure cliente dès lors que l’une de ses demandes contrevient à l’une des règles du RGPD.

Pour finir, le sous-traitant doit également s’assurer que son client, responsable du traitement des données personnelles, soit en mesure de répondre aux requêtes des personnes souhaitant exercer leurs droits en matière d’accès, de modification, de portabilité ou de suppression des données personnelles le concernant. Enfin, en cas de faille de sécurité, le sous-traitant a également l’obligation d’en avertir son client.