RGPD : Quelles sont les nouvelles obligations pour les sous-traitants ?

Dans le cadre de l’application du RGPD ou Règlement général sur la protection des données, le sous-traitant, c’est-à-dire celui qui traite des données personnelles aussi bien pour le compte, sous l’autorité ou sous les instructions de ce qu’on appelle le responsable de traitement, se voit dans l’obligation de modifier certaines de ses pratiques. Voici donc les nouvelles obligations auxquelles ce type de structure doit se soumettre.

Les sous-traitants concernés

Aujourd’hui, le sous-traitant comme défini par la CNIL se présente comme un prestataire de service. Son activité peut ainsi se focaliser sur une tâche bien définie comme la sous-traitance d’envoi de courriers, ou être plus étendue et générale comme la gestion d’un service ou d’un département pour le compte d’un autre organisme. Les nouvelles dispositions du RGPD concernent donc tous les prestataires de services informatiques, les sociétés de sécurité informatique, les intégrateurs de logiciels ainsi que les entreprises de service du numérique ayant accès aux données. Elles touchent également les agences de communication ou de marketing traitant des données personnelles pour le compte de clients, ainsi que tout organisme qui propose une prestation axée sur le traitement de données personnelles pour le compte d’une autre structure. Il arrive également qu’une association ou un organisme public soit amené à effectuer une telle tâche. En revanche, les éditeurs de logiciels ainsi que les fabricants de matériels de type badgeuse ou tout outil biométrique n’ayant pas accès et ne traitant pas de données personnelles ne sont pas concernés par ce nouveau règlement, à moins d’assurer une maintenance qui implique l’accès aux données personnelles.

La transparence et la traçabilité

Afin de respecter et de mettre en place l’obligation de traçabilité et de transparence, le sous-traitant doit avant toute chose établir avec son client un contrat ou un acte juridique (convention dans le cadre d’un même groupe) qui mentionne les obligations de chaque partie, en se référant aux dispositions de l’article 28 du RGPD. Il est également important d’identifier les instructions du client, afin de permettre au sous-traitant de prouver qu’il agit réellement sous une instruction documentée du responsable de traitement, d’obtenir une autorisation du responsable de traitement lorsque le sous-traitant lui-même décide de faire appel aux services d’un autre sous-traitant, et enfin, de tenir un registre qui recense les clients et précise le type de traitement de données réalisé pour leurs comptes respectifs.

Garantir la sécurité des données

D’après les dispositions du RGPD, le sous-traitant est également tenu d’assurer la sécurité des données personnelles qui lui ont été confiées. Chaque employé chargé de traiter les données du client est avant tout soumis à une obligation de confidentialité. Le sous-traitant doit ensuite informer son client de toute violation de ses données. Il est également impératif pour le sous-traitant de prendre toutes les mesures nécessaires permettant de sécuriser ces données des éventuels risques. À la fin de la prestation, et ce, suivant les instructions de son client, le sous-traitant doit supprimer toutes les données traitées ou les renvoyer à son client, et détruire par la même occasion toutes les copies existantes. Cette dernière mesure n’est cependant pas applicable lorsque le sous-traitant se trouve dans l’obligation légale de conserver les données personnelles traitées.