• contact@oxiwiz.fr
  • 04 76 93 29 79

Les sous-traitants et le rgpd

publié le 19/09/2018


Les sous-traitants et le rgpd

Depuis le 25 mai 2018 s’applique le Règlement Général sur la Protection des Données, mieux connu sous son acronyme RGPD (terme générique anglais : EU data regulation). C’est en quelque sorte le règlement général de protection des données personnelles. Il s’adresse à quiconque collecte des données personnelles : entreprises, associations, ou encore collectivités locales y sont soumises, à partir du moment où elles récoltent des données. Parmi ces acteurs, les sous-traitants sont particulièrement concernés.

Qu’est-ce que le RGPD ?

Suite à moult polémiques sur la data protection, tous les acteurs collectant les données personnelles d’utilisateurs de leurs sites web doivent au préalable demander l’accord du visiteur pour conserver lesdites données. De plus, les personnes concernées peuvent contrôler les données, par le droit de rectification, ainsi que le droit à l’oubli. C'est ce qu'on peut appeler la global data protection.

Dans un souci de protection of data, les structures doivent collecter sous certaines limites : elles doivent le faire en fonction de leurs besoins réels, et cela doit répondre à un objectif précis. Et il faut mettre des procédures de suppression d’anciennes données, afin de se prémunir d’un mauvais usage ou de nuire à la confidentialité. Le non-respect du RGPD sera sanctionné d’une lourde amende.

Le RGPD pour les sous-traitants

Le sous-traitant étant en charge de la collecte et du traitement des données pour une tierce personne, il était jusqu’à présent plutôt protégé, la responsabilité incombant au donneur d’ordres. Il était toutefois soumis au contrôle du responsable du traitement des données, à qui il devait présenter et garantir sécurité et confidentialité.

Désormais coresponsable, le sous-traitant devra offrir les garanties techniques et organisationnelles de la mise en place du RGPD dans sa structure cliente. Concrètement, le contrat de sous-traitance doit prévoir explicitement que le traitement des données se fasse sur instruction écrite du donneur d’ordre, que les opérationnels traitant les données de manière effective respectent la confidentialité des données (dont la sensibilité sera précisée en annexe du contrat), que le sous-traitant assure la sécurité du traitement, qu’il aide le client au niveau technique, organisationnel, et dans le respect des obligations légales, qu’il supprime toute donnée à l’issue du contrat, et qu’il mette à la disposition de son client toutes les informations documentées si ce dernier veut effectuer un audit ou y est lui-même soumis.

La RGPD prévoit également pour le sous-traitant qu’il puisse lui-même faire appel à des sous-traitants. Il doit toutefois pour cela obtenir l’autorisation écrite de son client. Les termes du contrat signé avec le client s’appliqueront entre sous-traitants. Si le second sous-traitant n'en respecte pas les termes, le premier sous-traitant sera responsable auprès de son client.

Par ailleurs, le sous-traitant ne peut agir que sur ordre de son client, et donc dans les limites que celui-ci aura fixées. S’il décide lui-même des finalités et moyens du traitement des données, il sera considéré de facto comme responsable.

En termes de responsabilités directes, le sous-traitant, s’il compte au moins 250 salariés, devra tenir un registre des traitements, qui doit être mis à la disposition de la CNIL, si celle-ci le demande, et tenir informé son client de toute faille de sécurité.


auteur
sandrine
Besoin d'un DPO ?

Si vous cherchez un DPO (Data Protection Officer) pour votre entreprise afin d'encadrer la protection des données et vous conformer au RGPD.

Cliquez ici

Vous êtes DPO ?

Vous êtes un DPO professionnel ou proposez vos services dans le cadre du RGPD ; vous souhaitez apparaître dans notre registre ?

Cliquez ici