Banniere-en-forme-de-vague

Les news RGPD & cyber

RGPD-sous-traitance-et-responsabilités 15 Oct, 2020

Sous-traitance RGPD : obligations & responsabilités

Les qualifications de Responsable de Traitement et de Sous-Traitant

Le Responsable de traitement (RT) est défini comme une personne physique ou une personne morale qui traite les données à caractère personnel de personnes physiques (Art. 4.7 RGPD). Le Comité Européen de la Protection des Données (CEPD) précise dans son Avis de 2010 qu’ « être responsable de traitement résulte essentiellement du fait qu’une entité a choisi de traiter des données à caractère personnel pour des finalités qui lui sont propres »¹. 

Parmi les entités susceptibles d’être considérées responsables de traitement, on retrouve : une entreprise, une association, une personne physique, une autorité publique voire même un comité social et économique. Le responsable de traitement dispose d’un pouvoir décisionnel sur les finalités et les moyens du traitement.

La définition de sous-Traitant (ST) est énoncée à l’Art. 4.7 RGPD. Il traite des données à caractère personnel sur « instruction documentée du responsable de traitement ». Sa fonction est de traiter les données personnelles pour le besoin du responsable de traitement.

La qualification de sous-Traitant est subordonnée à deux conditions cumulatives :

  • Le sous-traitant doit avoir une entité juridique distincte de celle du responsable de traitement ;
  • Il traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement.

    • Le CEPD a élaboré des faisceaux d’indices pour déterminer au cas par cas la qualification de responsabilité lors des traitements :

  • Du niveau d’instruction donné par le client au prestataire ;
  • Du degré de contrôle de l’exécution de la prestation ;
  • De la valeur ajoutée fournie par le prestataire ;
  • Du degré de transparence quant au recours à un prestataire.

    • La CNIL recommande au sous-traitant de recenser par écrit les instructions demandées par le responsable de traitement afin de faciliter la preuve du respect des prestations.

    Enfin, lorsque le responsable de traitement décide de faire sous-traiter le traitement des données personnelles, il convient aux deux parties d’encadrer leur relation par un contrat ou tout autre acte juridique.

    La Relation contractuelle entre responsable de Traitement et sous-traitant

    Le responsable de traitement qui souhaite faire appel à un sous-traitant doit s’assurer que ce dernier dispose du niveau de protection exigé par le Règlement Européen.

    Ainsi, le sous-traitant doit pouvoir mettre en œuvre des mesures physiques, logiques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des données de la personne concernée (Art. 28 §1).

    Le sous-traitant ne peut faire appel à un autre sous-traitant en l’absence d’un accord écrit au préalable du responsable de traitement afin que ce dernier puisse émettre des objections à l’encontre de ce second sous-traitant (Art. 28§2).

    La relation entre le responsable de traitement et le sous-traitant est contractuelle. Le texte juridique européen énonce la forme (à savoir l’écrit) et le contenu du contrat. Les deux parties doivent intégrer dans leur document juridique contractuel les obligations de chacun en reprenant les dispositions de l’Art. 28 RGPD.

    En cas d’audit ou de contrôle par l’autorité de contrôle – en France, la CNIL - le sous-traitant met à disposition du responsable de traitement toutes les informations, les documents nécessaires pour démontrer le respect des obligations et assure la réalisation des audits ou des contrôles.

    Responsables de traitement et sous-traitants doivent coopérer avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de sa mission (Art. 31 RGPD).

    Enfin, au terme de leur relation contractuelle, le responsable de traitement doit effectuer des choix quant au traitement des données. Il peut demander au sous-traitant de supprimer toutes les données ou de les lui renvoyer. De plus, le sous-traitant détruit les copies existantes, à moins que le droit de l’UE ou le droit d’un état membre n’exige leur conservation.

    Devoirs et obligations au sein de l’Union Européenne

    Le responsable de traitement doit protéger les données à caractère personnel dès la conception et par défaut au moyen de mesures physiques, logiques et organisationnelles.

    Le RGPD énonce que ces mesures sont prises en considération des risques encourus pour protéger les droits fondamentaux des personnes physiques (Art. 24§1).

    La protection des données dès la conception des produits et services consiste à prendre en compte les exigences de protection des données personnelles dès la conception des objets, des produits ou des procédures. Cette protection est dénommée sous le nom de Privacy by design (Art 25§1).

    Une autre mission portée par le responsable de traitement résulte du concept de Privacy by Default. Cette mission consiste à assurer, par défaut, un haut niveau de sécurité sur les données personnelles des personnes concernées traitées.

    Enfin, il tient un registre des activités de traitement tout comme le sous-traitant. Le RGPD en précise la forme et le contenu (Art. 30). Quant au sous-traitant, il doit y intégrer toutes les informations qui lui sont spécifiquement demandées pour réaliser le traitement.

    Les deux parties ont l’obligation de sécuriser les données et leur traitement conformément aux exigences du RGPD :

  • Sécuriser le traitement (Art. 32) ;
  • Notifier à l’autorité de contrôle les violations des données à caractère personnel (Art. 33) ;
  • Dans certains cas notifier la personne concernée de la violation des données à caractère personnel (Art. 34).

    • Il convient d’apporter une précision concernant cette obligation. Pour s’assurer de son respect et limiter les violations, il serait adéquat de concilier cette obligation de sécurité des données avec une politique de sécurité des systèmes d'information (PSSI).

    L’obligation des responsables de traitement et sous-traitants d’effectuer une analyse d’impact s’applique dans trois cas. Cette mesure est essentielle pour la bonne application des exigences du règlement. En effet, elle est importante lorsque l’autorité de contrôle se présente auprès de l’entité pour vérifier le respect au Règlement.

    Devoirs et obligations en dehors de l’Union Européenne

    L’entité juridique qui traite les données à caractère personnel mais qui est établie en dehors de l’Union Européenne doit choisir un représentant au sein de l’Union Européenne.²

    La question des transferts de données à caractère personnel hors de l’Union Européenne est subordonnée à certaines obligations pour garantir la protection de ce transfert.

    Ce transfert est possible dès lors que les conditions énumérées au Chapitre V du RGPD sont respectées par le responsable de traitement et le sous-traitant.

    Certains transferts sont soumis à l’approbation de la Commission Européenne. L’autorité européenne émet une décision d’adéquation pour le transfert de données dans un pays hors de l’Union. La Commission établit la liste des pays d’adéquation où le transfert des données est accepté.

    Enfin d’autres transferts ne seront autorisés que s’il existe des garanties dites appropriées.

    ¹ Le CEPD a énoncé des lignes directrices sur les notions de responsable des traitements et des sous-traitants ;
    ² Voir l' article sur le transfert de données en dehors de l’Union Européenne.
    Illustration par freepik

    Article précédent
    Auteur

    Fondatrice du cabinet de conseil et d'ingénierie LS Consulting, spécialiste en intelligence économique, juridique et numérique.

    - Léa Selebiro