Menu

Parce que les besoins de conformité diffèrent d’une structure à l’autre,
DATACY propose des solutions adaptées à votre organisation et à votre secteur d’activité.  

Votre devis en un clic

Menu
Vous êtes ici : Accueil > Actualités > Sous-traitance et RGPD : petit guide de survie

Sous-traitance et RGPD : petit guide de survie

Le 11 juin 2019
Sous-traitance et RGPD : petit guide de survie

Vous êtes responsable de traitement et recourez à la sous-traitance ? Pire, vous êtes sous-traitant et proposez vos services à des responsables de traitement ? Vous vous arrachez les cheveux pour vous mettre en conformité sur ces questions ? Nous vous proposons quelques astuces pour respecter le RGPD tout en préservant votre capital capillaire…

En effet, depuis le 25 mai 2018, un contrat écrit de sous-traitance doit être conclu entre le Responsable de traitement et son Prestataire à qui il sous-traite le traitement de données personnelles. Ce contrat est soumis au formalisme de l'article 28 du RGPD et doit contenir de nombreuses mentions obligatoires. 

 

Quels sont les bons réflexes et bonnes pratiques à adopter en matière de sous-traitance de données personnelles ?

Dès lors, la première difficulté qui se pose est la qualification même de sous-traitance de données à caractère personnel. Est-ce que la seule transmission de données personnelles constitue une sous-traitance de données personnelles ?

La réponse est, bien évidemment, non ! Il existe de nombreuses autres hypothèses de transmissions de données personnelles qui ne constituent pas une sous-traitance de données personnelles en tant que telle.

La CNIL définit la sous-traitance comme le fait, pour société B de traiter des données personnelles pour le compte, sur instruction et sous l'autorité de la société A[1].

Exemple : Le fait pour un employeur de transmettre des données à caractère personnel d’un de ses salariés à une agence de voyage pour organiser un voyage professionnel ne constitue pas une sous-traitance de données personnelles. Le traitement mis en oeuvre par l’agence de voyage, s’il est initié à la demande de l’employeur, n’est pas réalisé pour son compte. L’agence intervient de manière classique au regard de son activité principale.

Il appartient par conséquent aux responsables de traitement de dresser la liste de toutes les sous-traitances de données à caractère personnel afin de vérifier s’ils sont en possession d’un contrat conforme aux exigences de l’article 28. Dans le cas contraire, il conviendra d’y remédier.

Côté client, le problème, c’est que bien des fois les responsables de traitement n’ont pas les moyens d’imposer quoi que ce soit à leur prestataire (problématique du contrat d’adhésion). Alors que faire ?

Dans une telle hypothèse, il est important de documenter la preuve de sa volonté de se conformer aux exigences du RGPD. Pour ce faire, il convient d’adresser une lettre recommandée avec accusé de réception à ses prestataires afin de leur rappeler la nécessité de conclure un tel contrat. Il est également possible de leur adresser sa propre proposition de contrat. Ainsi le manquement de défaut de contrat pèserait davantage sur le sous-traitant négligeant que sur le responsable de traitement.

Lors de la rédaction du contrat, outre la nécessité de bien définir les modalités de la sous-traitance quant à son objet, sa durée et aux moyens requis, une vigilance particulière devra être apportée aux clauses relatives à :

-       La possibilité ou non de recourir à un sous-traitant ultérieur ;

-       La possibilité ou non de réaliser des transferts de données hors de l’Union européenne ;

-       La responsabilité du sous-traitant ;

-       La possibilité de réaliser des audits ;

-       Les délais de réalisation des actions (exercice des droits, violation de sécurité, etc.).

Côté sous-traitant, il conviendra de veiller à ce que les modalités d’exécution des obligations qui pèsent sur lui soient encadrées et définies. Surtout, il lui appartiendra de mettre en place les processus lui permettant de démontrer qu’il agit sur instruction du responsable de traitement et qu’il respecte le RGPD ainsi que les différentes clauses prévues au contrat.

Autre conseil à destination des sous-traitants, se doter de son propre modèle de contrat de sous-traitance de données personnelles ! Cela lui évitera de devoir analyser les clauses de chaque contrat à l’initiative de ses clients…

 

Focus : sous-traitants informatiques et RGPD quel état des lieux ?

Par ailleurs, depuis quelques années, le recours à la sous-traitance traditionnelle est de plus en plus délaissée au profit de la sous-traitance en mode SaaS (software as a service) mais aussi PaaS (Plateforme as a service), IaaS (infrastructure as a service), ou « sous-traitance informatique ».

Ces sous-traitants informatiques peuvent également recourir à leurs propres sous-traitants dans le cadre de l’exécution de certaines prestations ou encore de l'hébergement des données de leurs clients.

Ces relations de sous-traitance 2.0 entraînent des contrats en chaîne qui rendent difficile la compréhension et le partage des responsabilités. 

La CNIL, à l’occasion de l’édition 2018 du « Sweep day »[2] (action menée par le Global Privacy Enforcement Network), s’est intéressée à la conformité des sous-traitants informatiques au RGPD.

La Commission a réalisé un audit, sous la forme de questionnaires écrit, auprès de 24 organismes (intégrateurs de logiciels et hébergeurs) situés sur le territoire français.

Cet audit a permis de relever de nombreuses bonnes pratiques de la part des sous-traitants informatiques comme l’analyse aux fins de déterminer la nécessité de désigner un DPO ou l’étude de leur statut au regard du RGPD ou encore la mise en œuvre d’actions de

Toutefois, la CNIL a également identifié des marges de progression possibles en ce qui concerne :

-       Les procédures de gestion d’incident de sécurité ;

-       L’assistance du sous-traitant pour la réalisation d’une analyse d’impact ;

-       La réponse apportée à l’exercice des droits des personnes.

 

Pour conclure, le contrat de sous-traitance, en plus d’être une obligation légale, permet d’éviter des litiges en répartissant les responsabilités, en définissant les obligations de chacune des parties et en encadrant leurs modalités de mise en œuvre.

Pour rappel, l'amende encourue pour le non-respect de cette obligation s'élève à 10 000 000€ ou 2% du chiffre d'affaires annuel mondial. 



[1] https://www.cnil.fr/fr/cnil-direct/question/reglement-europeen-un-sous-traitant-de-donnees-personnelles-cest-quoi 
[2] https://www.cnil.fr/fr/sweep-2018-premieres-tendances-sur-la-responsabilisation-des-sous-traitants-informatiques-lheure-du