Article 28 – Sous-traitant
Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée…..
c) prend toutes les mesures requises en vertu de l’article 32;
…..
Sans préjudice des articles 82, 83 et 84, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.
La loi vous impose un contrôle effectif sur vos sous-traitants. C’est un fait. L’article 28 du Règlement amplifie vos devoirs de responsable de traitement dans les choix de vos sous-traitants. Vous devez choisir des sous-traitants présentant les garanties suffisantes concernant les mesures techniques et opérationnelles. En clair, ils doivent respecter les prescriptions du Règlement et assurer la protection des droits de vos internautes, prospects et clients.
Vous devez contractualiser avec vos sous-traitants de manière particulière concernant le respect du RGPD. A minima, ce sont 8 mentions obligatoires à ajouter à vos contrats. Les informations sur le traitement lui-même (finalité, objet et durée du traitement, durée de conservation) doivent apparaître et prévoit l’engagement du sous-traitant à respecter toute une série de devoirs à l’égard du responsable, notamment :
– ne traiter les données que sur vos instructions.
– garantir que les personnes autorisées sont soumises à un devoir de confidentialité.
– respecter les conditions de recrutement d’un autre sous-traitant secondaire.
– vous aidez à répondre aux demandes d’exercice des droits des personnes concernées.
– selon vos choix, effacer ou restituer les données après l’exécution du service.
– vous fournir toutes les informations nécessaires pour démontrer le respect du traitement.
– vous permettre de réaliser des audits.
Vos sous-traitant doivent vous informer, avant tout changement de sous-traitant « secondaire », afin de vous permettre d’émettre des objections.
Enfin, la dernière version du Règlement indique spécifiquement qu’un sous-traitant qui n’aurait pas respecté ses devoirs, notamment en ne déterminant pas les finalités et moyens du traitement, sera alors considéré comme responsable du traitement.
En précisant et élargissant vos devoirs ainsi que ceux de vos sous-traitants, le RGPD vous impose de revoir tous vos contrats. Plus moyen d’avoir des mentions assez générales contenues au mieux dans une seule clause dans vos contrats de prestations de service. Il faut les détailler.
Vos sous-traitants devront impérativement accorder plus d’importance à la protection des données et à leurs obligations. Car celles-ci dépassent la simple prise de mesures de sécurité, et leur impose une gestion contractuelle bien plus professionnelle.
Vous pourriez être tenté de vous décharger sur vos sous-traitants.
Mais rappelez-vous :
– Ce sont vos data.
– Ce ne sont pas à vos sous-traitants d’informer vos clients.
– Vos sous-traitants ne connaissent pas vos clients concernées. Ils ne ne traitent que des data…
– L’obligation de sécurisation doit se faire chez vous ET chez vos sous-traitants.
– Attention, si il y a une fuite chez un sous-traitant, dans tous les cas, il doit vous le notifier. A vous, responsable du traitement, d’informer la CNIL, et éventuellement les personnes concernées.
Pour aller plus loin :
https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
