Le RGPD et le sous-traitant

Que ce soit une entreprise privée ou une entreprise publique, chaque entité peut avoir besoin d’un sous-traitant pour l’aider dans sa tâche. Mais quand il s’agit d’un domaine aussi délicat que le traitement de données individuelles, il est impératif de règlementer ce domaine du sous-traitant. Le RGPD Règlement Général sur la Protection des Données ou GPDR (General Data Protection Regulation) a donc mis en place des barrières à ne pas franchir, des obligations auxquelles les sous-traitants doivent satisfaire. Dans ce qui va suivre, nous allons donc voir ce qu’est un sous-traitant, les contours de ses obligations, mais également les sanctions qu’il pourrait encourir en cas de violation des règles fournies par le RGPD.

Qu’est-ce qu’un sous-traitant RGPD ?

Le sous-traitant est l’entité qui traite les données individuelles sur ordre et sous l’autorité d’un responsable du traitement. De ce fait, tout prestataire ayant la possibilité d’accéder à ces données personnelles est considéré comme étant un sous-traitant. Il est nécessaire de ne pas le confondre avec le responsable de traitement qui, lui, précise le but et les moyens du traitement. Pour cela, des critères sont donc établis pour confirmer le statut du sous-traitant comme le niveau de contrôle sur les données fournies par exemple. Au sens de la loi, plusieurs entités peuvent avoir la qualité de sous-traitant, qu’il soit spécialisé dans un domaine bien précis (l’envoi de courrier uniquement par exemple DHL) ou plus généralisé (gestion d’un service entier pour un autre organisme comme gérer la paie des employés ou travailleurs). Les personnes qui sont concernées sont :

  • Les prestataires de services dans le domaine l’informatique (comme un hébergeur, qu’il fasse de la maintenance…), qu’il soit intégrateur de logiciel, qu’il soit dans la sécurité informatique ou encore les entreprises de service numérique ou société de services et d’ingénierie en informatique (SSII)
  • Les agences de marketing ou de communication qui travaillent pour le compte de quelqu’un d’autre
  • Toute autre entité fournissant un service de prestation qui traite des données personnelles pour une autre entité
  • Plus généralement donc, toute organisation publique, privée ou association qui reçoit des commandes de cet ordre pour le compte d’une autre entité

Quelles sont ses obligations ?

D’après le RGPD, le sous-traitant est soumis à des obligations particulières selon l’article 28 de ce Règlement :

  • Une obligation de transparence et de traçabilité qui oblige le sous-traitant à devoir informer le client les formalités qui ont été faites. Pour cela, il faut que le sous-traitant possède les documents s’y référant : le registre de traitement, le document de recensement des instructions du client pour pouvoir garantir le but, les modalités du traitement (taille des données, la durée de traitement…). Il devra mettre également à la disposition des clients toute information nécessaire pour les audits éventuels ainsi que la démonstration du respect des obligations. Pour cela, il serait plus simple d’établir un contrat ou tout autre acte juridique qui préciserait les obligations de chaque partie.
  • L’obligation de protection et de sécurisation des données. En effet, le sous-traitant doit tout mettre en œuvre pour protéger et sécuriser les données fournies par exemple l’utilisation de la pseudonymisation comme moyen de confidentialité des données. La suppression des données en toute fin de la prestation peut être également un moyen pour parvenir cette obligation. Dès la conception et jusqu’à la fin du traitement, les outils ou produits que le sous-traitant offre au client doivent adhérer aux principes de la protection des données.
  • Une obligation d’assistance qui préconise que le sous-traitant aide le client pour la bonne marche de l’exécution du traitement. Dans ce même cadre, si le sous-traitant juge que les ordres donnés sont en adéquation avec le RGPD, il sera dans l’obligation de le signaler au responsable du traitement pour qu’il soit en règle vis-à-vis du règlement. Le sous-traitant doit également donner une réponse positive à toute requête du client : accès, rectification, effacement de données, opposition ou encore la portabilité des données fournies.

Quelles sanctions encourent-ils ?

Le RPGD instaurant la responsabilité de tous les acteurs qui traitent les données à caractère personnel (ce qui n’était pas le cas de la Loi Informatique et Libertés de 1978), les sous-traitants sont également responsables des bévues qui pourraient survenir et encourent donc des sanctions. L’article 82 du RPGD dispose : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant ». Les peines encourues sont graduelles dans l’ordre suivant : avertissement ou mise en demeure, injonction de cesser la violation, limitation ou suspension temporaire du traitement des données reçues, sanctions administratives. Les sanctions administratives sont appliquées selon la durée, la nature et la gravité de la violation. Les sanctions sont de 2 types :

  • Les violations dites mineures comme l’absence de tenue d’un registre des traitements. Dans ce cadre, la sanction pourrait s’élever à 2% du chiffre d’affaire mondiale de l’année précédente ou à 10.000.000 d’euros.
  • La violation majeure des règles du RGPD comme l’absence de recueil du consentement de la personne concernée pour le traitement des données à caractère personnelle concernant, le manque de sécurité lors d’un transfert international des données personnelles par l’autorité de contrôle. Dans ces cas, la sanction pourrait doubler c’est-à-dire 4% du chiffre d’affaire mondial de l’année précédente ou à 20.000.000 d’euros d’amende.

Références :

Articles liés à ce sujet :