Avec le RGPD, tous les acteurs qui participent aux traitements de données à caractère personnel sont responsables, et susceptibles d’être sanctionnés en cas de problème. Cela concerne à la fois les donneurs d’ordres (responsables des traitements), mais aussi leurs sous-traitants, lesquels, jusqu’à présent, n’étaient que peu inquiétés. A compter du 25 mai 2018 et l’entrée en vigueur officielle du règlement européen sur la protection des données, les obligations de ces derniers vont être considérablement renforcées.

Traitement de données à caractère personnel : pourquoi recourir à un sous-traitant ?

Traiter des données à caractère personnel ne s’improvise pas, à plus forte raison lorsque le volume des informations collectées est important, et/ou que le contenu de ces dernières s’avère hautement confidentiel (données sensibles). L’opération nécessite la mise en place de mesures techniques et organisationnelles bien spécifiques. En termes de technologie tout d’abord, cela suppose de recourir à un certain nombre de serveurs, et d’outils de protection comme des pare-feu. Il faut aussi pouvoir disposer d’un local de stockage adapté et sécurisé. Ensuite, il est indispensable de pouvoir compter sur du personnel qualifié, si possible dédié à cette tâche, car celle-ci peut être rapidement chronophage si l’on additionne la collecte des données, la vérification des accès, les changements de mots de passe, les tests d’intrusion, etc. Or, beaucoup d’entreprises et organismes, parce qu’ils n’ont pas les machines, les infrastructures, les compétences, ou tout simplement le temps, ne sont pas en mesure de répondre aux exigences sécuritaires qu’impose légitimement le traitement de données à caractère personnel. D’où la solution de faire appel à des sous-traitants, à savoir des sociétés spécialisées, et surtout certifiées, capables d’assurer une veille de tous les instants.

Sous-traitants : ce qui change avec le RGPD

Le recours aux sous-traitants pour traiter les données à caractère personnel n’est pas nouveau. Par contre, d’importants changements se profilent en matière de degré de responsabilité et d’obligations. Le but étant de pouvoir garantir le droit des personnes d’un bout à l’autre de la chaîne. Ainsi, sous la loi Informatique et Libertés de 1978, laquelle est encore d’actualité, dans l’attente de son remplacement par le RGPD, c’est le responsable direct du traitement (celui qui en prend l’initiative et décide de ses finalités) qui engage sa totale responsabilité en cas de défaillance. Même s’il a délégué les traitements à un sous-traitant et que, par la négligence de ce dernier, une fuite ou une perte de données est décelée, c’est lui, et lui seul qui est légalement jugé fautif. De son côté, le sous-traitant peu consciencieux ne risque pas grand-chose car aucun texte officiel ne stipule ouvertement quelles sont ses obligations en matière de confidentialité et de règles de sécurité. Dès le 25 mai 2018, et la mise en place officielle du RGPD, les sous-traitants seront soumis à plus de rigueur et de contrainte. Face à un incident, comme un piratage de données, ils devront partager les responsabilités avec le responsable des traitements. Ainsi, en cas de litige, les uns comme les autres s’exposeront à la fois à des sanctions sévères, mais également à un déficit de notoriété vis-à-vis de leurs clients respectifs.

Les obligations des sous-traitants prévues par le RGPD

Un sous-traitant doit avant tout présenter toutes les garanties nécessaires à la sécurité et au bon traitement des données qui lui sont confiées. En cas de contrôle, il devra pouvoir apporter toutes les preuves justifiant qu’il est en parfaite conformité avec le nouveau règlement européen sur la protection des données. Ensuite, un sous-traitant à l’obligation de suivre strictement les instructions données par le responsable des traitements, lesquelles sont clairement énoncées dans un contrat écrit. Sur ce dernier sont renseignées un certain nombre d’informations essentielles, comme la finalité, la durée, la nature et les modalités des traitements concernés, le type de données, ou encore le public ciblé. A noter que s’il juge certaines instructions peu en adéquation avec le RGPD, le sous-traitant est parfaitement à même de le signaler au responsable des traitements, et d’aider ce dernier à se mettre en conformité. D’un autre côté, un sous-traitant ne peut pas agir et prendre des décisions sans l’accord explicite de son client. S’il veut lui-même engager un autre sous-traitant pour réaliser la mission (ce qui n’est pas interdit), il doit absolument avertir le responsable des traitements et obtenir son autorisation, après avoir démontré que son partenaire présente toutes les garanties nécessaires. De même, s’il procède à des transferts de données, c’est uniquement sur ordre, et non de sa propre initiative. D’une manière générale, pour être sûrs de respecter toutes ces obligations et être en conformité avec le RGPD, les sous-traitants sont vivement invités à se doter d’un délégué à la protection des données (DPO).

Sources : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28 https://www.linformaticien.com/dossiers/rgpd160-serez-vous-pr234t160-1.aspx

A venir : Se mettre en conformité avec le RGPD : qui peut vous aider, vous accompagner ?