En tant que sous-traitant, vous êtes soumis à certaines obligations issues du RGPD (Règlement Général de Protection des Données). Découvrez les bonnes pratiques à adopter.

Sous-traitant et RGPD : définition

Le sous-traitant, au sens du RGPD, est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (nommé « le responsable de traitement ») dans le cadre d’un service ou d’une prestation.

Les sous-traitants doivent respecter certains impératifs concernant les données personnelles :

  • Dans un premier temps, ils ont une obligation de transparence et de traçabilité ;
  • Dans un second temps,  ils doivent garantir la sécurité des données traitées ;
  • Aussi, ils sont contraints de prendre en compte les principes de protection des données dès la conception et par défaut ;
  • Enfin, ils ont une obligation d’assistance, d’alerte et de conseil. Par exemple, une procédure de notification des violations de données personnelles doit être notifiée.

Tous ces engagements doivent être présents dans le contrat de prestation de services signé par les deux parties. Aussi, les instructions documentées du responsable de traitement devront être annexées au contrat.

Les obligations du sous-traitant 

Un sous-traitant traitant des données personnelles pour le compte d’un responsable de traitement doit :

  • Traiter uniquement les données indispensables à la réalisation de la prestation ou du service objet de la sous-traitance ;
  • Garantir la confidentialité des données à caractère personnel ;
  • Traiter les données conformément aux instructions données par le responsable de traitement ;
  • Mais aussi, détruire, renvoyer au responsable de traitement ou transmettre à un nouveau sous-traitant les données à caractères personnelles à la fin de la mission.

Concernant la gestion des droits des personnes et la gestion des violations des données, le sous-traitant doit définir les processus pour l’information aux personnes concernées. Et ce de manière explicite avec son client responsable de traitement. 

Aussi, le sous-traitant doit également veiller à ce que les personnes autorisées à traiter les données à caractère personnel :

  • S‘engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • Reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

Au sujet des outils, produits, applications ou services, le sous-traitant est tenu de prendre en compte les principes de protection des données dès la conception et de protection des données par défaut (Privacy by default/Privacy by design).

Un sous-traitant peut faire appel à de la sous-traitance, dite sous-traitance ultérieure. Et ce, à condition qu’il en informe son client, le responsable de traitement, de manière explicite. Notons que il appartient alors au sous-traitant initial de s‘assurer que le sous-traitant ultérieur présente les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Le traitement doit répondre aux exigences du règlement européen sur la protection des données.

Les responsabilités 

Il est important de souligner que lorsqu’un responsable de traitement confie des données à caractères personnelles à un sous-traitant, il reste responsable des données en question.

Lors de la vérification annuelle du responsable de traitement, le sous-traitant doit être en capacité de démontrer qu’il respecte la réglementation RGPD. Il est responsable du traitement des données fait par un sous-traitant ultérieur.