RGPD
L’adoption du Règlement Général sur la Protection des Données (RGPD) a engendré des obligations additionnelles pour les sous-traitants et les responsables de traitement, auxquelles les accords de sous-traitance doivent s'adapter.
Temps de lecture :
3 min
L’adoption du Règlement Général sur la Protection des Données (RGPD) a engendré des obligations additionnelles pour les sous-traitants et les responsables de traitement, auxquelles les accords de sous-traitance doivent s'adapter.
Ces nouvelles règles ont suscité une prise de conscience grandissante des responsabilités et obligations en matière de sous-traitance, illustrée notamment par l’élaboration de modèles de clauses contractuelles par les sous-traitants.
Quand une entité gère les données personnelles pour le compte d’une autre, elle est reconnue comme sous-traitant selon le RGPD. C’est également le cas pour les solutions « clé en main » qui traitent des données personnelles.
En l’espèce, dans le cadre de ses missions, l’agence de développement web a accès à des données à caractère personnel des clients de ses clients professionnels.
Dès lors, ce prestataire informatique doit s’assurer de respecter les consignes définies par le responsable de traitement (entreprise propriétaire du site ou de l’application) et prévoir les différentes obligations qui leur incombent sur la base de la réglementation applicable (articles 4.7, 4.8 et 28.10 du RGPD)
Par contre, si le sous-traitant utilise les données de ce traitement à son compte (ex : gestion client, comptabilité), il est considéré comme responsable de traitement pour ce traitement spécifique.
Le responsable de traitement et le sous-traitant doivent élaborer un contrat qui comporte plusieurs mentions obligatoires au titre de l’article 28 du RGPD.
Le rôle d’un avocat compétent dans ce processus est d’organiser les obligations respectives des deux parties, d’intégrer toutes les mentions obligatoires en fonction de la situation et de mettre en œuvre ces obligations.
Votre contrat RGPD doit clairement définir l’objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de données et les personnes concernées.
Toute opération de traitement non prévue dans le contrat nécessite des instructions écrites du responsable de traitement ou une renégociation du contrat.
Par ailleurs, ce contrat permet de prévoir les modalités de recours à d’autres sous-traitants par le prestataire informatique.
En effet, des procédures peuvent être mises en œuvre afin de documenter, mettre à disposition du responsable de traitement à tout moment des documents attestant du respect du RGPD ou encore s’assurer que :
Les obligations sont nombreuses et doivent être respectées par le sous-traitant dans le cadre de son activité.
Que vous soyez responsable de traitement ou sous-traitant, la collaboration avec un avocat en RGPD pour rédiger votre contrat de sous-traitance sécurisera vos opérations en vous permettant de respecter la réglementation et de protéger les données personnelles que vous traitez.
Si vous avez des questions supplémentaires ou si vous avez besoin d’aide pour la rédaction de votre accord de sous-traitance RGPD, n’hésitez pas à me contacter.
Pour aller plus loin
Le RGPD qualifie de sous-traitant toute entité qui traite des données personnelles pour le compte d'un responsable de traitement. Une agence web qui accède aux données des clients de ses clients est sous-traitant. Les solutions clé en main traitant des données personnelles le sont aussi. Ce statut emporte des obligations propres.
Cela dépend de l'usage des données. Lorsqu'elle traite les données selon les instructions de son client, l'agence est sous-traitant. Mais si elle utilise ces données pour ses propres besoins (gestion client, comptabilité), elle devient responsable de traitement pour ce traitement spécifique. La qualification peut donc varier selon les opérations.
Oui. L'article 28 du RGPD impose un contrat entre le responsable de traitement et le sous-traitant, comportant des mentions obligatoires. Ce contrat encadre les obligations de chacun et conditionne la conformité de la sous-traitance. Son absence constitue un manquement, exposant les deux parties à la responsabilité en cas de contrôle de la CNIL.
Le contrat doit définir l'objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de données et de personnes concernées. Toute opération non prévue nécessite des instructions écrites du responsable de traitement ou une renégociation. Il encadre aussi le recours éventuel à d'autres sous-traitants.
Le sous-traitant doit agir sur instruction écrite, garantir la sécurité technique, aider le responsable à répondre aux demandes d'exercice de droits, documenter sa conformité, tenir un registre pour le compte du responsable et n'utiliser que des outils conformes. Il doit aussi notifier les violations et permettre les audits.
Oui, mais de façon encadrée. Le contrat doit prévoir les conditions du recours à un sous-traitant ultérieur, qui suppose en principe l'autorisation du responsable de traitement et le report des mêmes obligations de protection des données. Cette chaîne de sous-traitance doit rester maîtrisée pour préserver la conformité de l'ensemble.
Toute opération de traitement non prévue au contrat nécessite des instructions écrites du responsable de traitement ou une renégociation du contrat. Le sous-traitant ne peut pas décider seul de nouvelles finalités ou de nouveaux usages des données. Ce cadre protège le responsable de traitement et délimite strictement le rôle du sous-traitant.
Parce que l'article 28 du RGPD impose des mentions précises et une organisation rigoureuse des obligations. Un avocat adapte le contrat à la situation réelle, intègre toutes les mentions obligatoires et met en place les procédures de preuve de conformité. Cela sécurise les opérations et protège les données traitées en cas de contrôle.
Vous avez encore des questions ?
Notre équipe est à disposition !
Une question ?

Ressources
Aller plus loin