Dans le cadre d’une relation professionnelle, un prestataire, ou sous-traitant, peut être amené à devenir co-responsable d’un traitement, au sens RGPD du terme.

Le prestataire se voit alors imposer des directives spécifiques, compilées par la CNIL dans le « Guide du sous-traitant ». Êtes-vous concerné ? Quelles sont vos obligations ?

Qu’est-ce qu’un sous-traitant ?

Selon la définition juridique, le sous-traitant traite de données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement, qui lui, détermine les finalités et les moyens dudit traitement.

Bon nombre de prestataires de services se voient concernés par cette définition. C’est le cas par exemple des prestataires de services informatiques d’hébergement et de maintenance, des intégrateurs de logiciels, des agences de marketing qui utilisent des données personnelles pour la communication de leurs clients.

De manière générale, sont concernées toutes les organisations, privées ou publiques, les associations, qui traitent de données personnelles pour le compte d’un autre organisme.

Quelles sont les obligations du sous-traitant ?

En tant que sous-traitant, vous êtes soumis au RGPD si vous êtes établi dans l’Union Européenne ou si vos offres de biens ou de services s’adressent à des personnes concernées dans l’Union Européenne.

L’article 28 du RGPD impose au sous-traitant d’offrir à son client les « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personnes concernée ». Cela revient à conseiller et assister le client dans sa mise en conformité.

Dans les faits, vous devez :

  • Faire preuve de transparence et de traçabilité.

Lors de l’établissement d’un contrat :

  • vous précisez les obligations de chaque partie, conformément aux dispositions de l’article 28 cité précédemment,
  • vous recensez les instructions de votre client relatives au traitement de ses données
  • vous demandez l’autorisation à votre client de pouvoir faire vous-même appel à un sous-traitant
  • vous mettez à disposition de votre client les éléments prouvant le respect de vos propres obligations
  • vous tenez un registre listant vos clients et les traitements que vous gérez pour eux
  • Assurer la protection des données dès la conception de vos produits / services

Les principes liés à la protection des données doivent être intégrés, dès leur conception, à vos services, outils, applications… par défaut, vous garantissez que les données traitées sont nécessaires au fonctionnement du produit / service et que leur utilisation ne va pas au-delà de ce périmètre.

Ce sont ce qu’on appelle les principes de « Privacy by design » et de « Privacy by default »:

  • Privacy by design = « protection de la vie privée dès la conception ». Chaque nouvelle technologie traitant des données personnelles ou permettant d’en traiter doit garantir dès sa conception et lors de chaque utilisation, le plus haut niveau possible de protection des données.
  • Privacy by default : quiconque traite de données personnelles doit permettre aux personnes concernées d’obtenir rapidement et facilement le plus haut niveau de protection possible. La législation sur la protection des données doit obliger chaque entreprise traitant des données personnelles de garantir par défaut le plus haut niveau possible de protection des données.
  • Garantir la sécurité des données que vous traitez

La première garantie que vous devez à votre client, c’est de prendre toutes les mesures nécessaires pour maintenir un niveau de sécurité adapté à la préservation des données que vous traitez :

  • La pseudonymisation et le chiffrement des données à caractère personnel
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement

Au cours de votre prestation, vos propres collaborateurs doivent rester dans la confidentialité. Vous vous devez de prévenir votre client le plus rapidement possible en cas de violation, et notifier la CNIL dans un délai de 72 heures si cette violation présente a minima un risque.

À la fin de votre contrat vous devez supprimer les données que vous traitez pour votre client ou les lui renvoyer, et en détruire les copies.

  • Assister, conseiller

Le rôle de conseiller fait partie de vos attributions de prestataire. Si vous constatez par exemple une violation dans le traitement que votre client fait de ses données, vous devez l’informer du risque qu’il prend. De même, vous devez l’aider à respecter ses obligations relatives à la sécurité, à la notification de violations et à la réalisation d’analyses d’impact.

Enfin, vous devez l’assister dans ses réponses aux demandes relatives aux droits et libertés informatiques (rectification / suppression / effacement / etc. des données).

 

Anne, Chef de produit chez Apsynet

 

 

Catégories : RGPD