Le rôle d’un sous-traitant dans la mise en conformité au RGPD

Les traitements de données personnelles ont toujours fait l’objet d’une attention particulière afin de garantir les droits et libertés des individus, notamment le respect de la vie privée.

L’entrée en vigueur du règlement général sur la protection des données (RGPD) s’inscrit dans cette logique de protection de la vie privée.

Ce règlement européen encadre les activités de toute personne impliquée dans le traitement des données européennes : des responsables de traitement aux sous-traitants, en passant par le Data Protection Officer (DPO).

Des obligations du sous-traitant

Avant de définir les obligations du sous-traitant, il est important de bien le distinguer du responsable du traitement. Ce dernier est le seul responsable de la politique de protection des données à caractère personnel au sein de l’organisme traitant ce type de données dans le cadre ses activités. Le RGPD l’autorise à recourir à des prestataires de services afin d’exécuter tout ou partie du traitement.

Toute personne physique ou morale traitant des données personnelles pour le compte du responsable de traitement est un sous-traitant. Si la loi Informatique et libertés prévoyait déjà le recours à la sous-traitance ainsi que les obligations légales y afférentes, le RGPD apporte de nouvelles obligations afin de garantir un meilleur niveau de protection. Le nouveau règlement prévoit, notamment :

Le respect de toutes les règles de protection des données personnelles édictées par le RGPD que ce soit dans le cadre de la tenue d’un registre des traitements ou de toute autre activité ;
La coopération avec l’autorité de contrôle ;
L’interdiction de sous-traiter sans autorisation écrite du responsable du traitement ;
Une obligation générale d’assister le client dans ses propres obligations, surtout vis-à-vis du respect des droits des personnes concernées par le traitement de leurs données (droit d’accès, droit d’effacement, droit de rectification).

Des clauses à insérer dans le contrat de sous-traitance pour assurer la conformité au RGPD

Bien que le règlement fixe les obligations du sous-traitant dans ses dispositions, il est impératif de conclure un contrat rappelant les dispositions légales impératives. Le contrat devra également préciser les instructions et les tâches qui encadreront l’exercice de ses activités. Les clauses contractuelles organiseront, en outre, leurs rapports mais aussi la responsabilité relative à la protection des données de chacun d’eux.

La première clause rgpd contrat doit énoncer clairement l’objet et la durée du contrat. Elle doit également préciser la nature et la finalité du traitement des données personnelles et définir les catégories de données et de personnes concernées. Une clause rappelant la politique de confidentialité devra également y figurer.

De plus, les clauses contractuelles devront préciser et adapter les règles édictées à l’article 28 RGPD. En particulier, une clause rgpd contrat devra aborder le sujet de la sous-traitance du sous-traitant évoqué plus haut. Celle-ci devra soit rappeler l’obligation d’avoir une autorisation écrite préalable, soit donner une autorisation générale de sous-traitance mais avec une obligation d’informer le responsable de traitement. Ce dernier pourra alors exercer son droit d’opposition au recours à un sous-traitant en particulier.

Quelques conseils avant de recourir à la sous-traitance

La première des précautions à prendre avant de conclure un contrat de sous-traitance est de s’assurer que le prestataire envisagé dispose des garanties appropriées en matière de connaissances et maîtrise des mesures techniques, en ressources mais aussi qu’il ait une base juridique solide.

Les rapports précontractuels devront aborder également la mise en place d’outils de communication adaptés (notamment afin de notifier toute violation ou tout risque de violation de données).

Enfin, comme le sous-traitant pourra accéder aux données personnelles conservées au nom de l’organisme, il est important de lui rappeler que, désormais, en cas de non-conformité, la responsabilité est partagée à la fois par le responsable du traitement et le sous-traitant (notamment pour les sanctions pénales). Ce rappel établira renforcera l’obligation légale – et morale – de respecter la protection des données collectées et traitées.

Le rôle d’un sous-traitant dans la mise en conformité au RGPD

Des obligations du sous-traitant

Des clauses à insérer dans le contrat de sous-traitance pour assurer la conformité au RGPD

Quelques conseils avant de recourir à la sous-traitance

Alexandre

Laisser un message

Peut-on réaliser un lissage brésilien sur des cheveux déjà fragilisés ?

Créer son entreprise en dehors des grandes villes

Incentives d’Entreprise à Bordeaux : Comment Stimuler la Productivité et la Motivation de Votre Équipe dans la Ville de l’Innovation

Le rôle d’un sous-traitant dans la mise en conformité au RGPD

Des obligations du sous-traitant

Des clauses à insérer dans le contrat de sous-traitance pour assurer la conformité au RGPD

Quelques conseils avant de recourir à la sous-traitance

Alexandre

Articles similaires

Peut-on réaliser un lissage brésilien sur des cheveux déjà fragilisés ?

Créer son entreprise en dehors des grandes villes

Incentives d’Entreprise à Bordeaux : Comment Stimuler la Productivité et la Motivation de Votre Équipe dans la Ville de l’Innovation

Laisser un message

Pouvons-nous utiliser vos données pour vous proposer des annonces personnalisées ?