Le Règlement Général pour la Protection des Données (RGPD) mis en place le 25 mai 2018 a pour vocation de responsabiliser les organismes publics ou privés quant aux traitements des données personnelles récoltées sur le territoire de l’Union Européenne ou de l’espace économique européen.
Un grand nombre de questions concernent la relation avec les prestataires des traitements de données personnelles en qualité de sous-traitants*.
Les articles 28 (sous-traitant) et 31 (registre des activités de traitement) du RGPD concernent la sous-traitance et ses obligations.
*Si, en violation du règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme responsable du traitement.
Quels prestataires sont concernés ?
Tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation sont concernés, par exemple les prestataires de services informatiques ou les agences de marketing ou de communication. Le prestataire peut être le responsable du traitement ou son sous-traitant.
Quels traitements sont concernés ?
Les prestataires entrent dans le champ de la réglementation dès lors que les activités de traitement des données sont liées à l’offre de biens ou de services au sein de l’UE ou au suivi d’un comportement qui a lieu au sein de l’Union
Quelles sont les obligations des prestataires ?
- Les prestataires doivent respecter les obligations de protection et de sécurisation des données.
Pour cela il est nécessaire d’assurer la transparence et la traçabilité de la relation c’est-à-dire établir avec le donneur d’ordre un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen afin que le sous-traitant :
– ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement ;
– veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité ;
– prenne toutes les mesures techniques et organisationnelles appropriées requises pour la sécurité des traitements ;
– ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable du responsable de traitement et l’oblige aux mêmes obligations
– respecte les droits des personnes, par exemple l’accès aux informations, l’opposition, la rectification.
– supprime ou renvoie des données au terme du traitement
– mette à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits et y contribue.
- Chaque sous-traitant doit tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.
Le registre comprend des traitements et des donneurs d’ordre, la description des traitements, les mesures de sécurité techniques et organisationnelles.
Cette obligation s’applique aux organisations de 250 employés ou plus sauf cas particuliers comme un traitement non occasionnels susceptibles de comporter un risque pour les droits et des libertés des personnes concernées.
Le prestataire engage sa responsabilité en cas de manquement à ses obligations.
ACCORDANCE Consulting accompagne les entreprises dans la mise en conformité RGPD, grâce à une expertise pluridisciplinaire (avocat, informaticien spécialisé en sécurité, consultant en systèmes de management).
Copyright : Infoqualité