L’adoption du Règlement Général sur la Protection des Données (RGPD) a engendré des obligations additionnelles pour les sous-traitants et les responsables de traitement.
Ces nouvelles règles ont suscité une prise de conscience grandissante des responsabilités et obligations en matière de sous-traitance, illustrée notamment par l’élaboration de modèles de clauses contractuelles par les sous-traitants.
Comprendre votre rôle en tant que sous-traitant RGPD
Quand une entité gère les données personnelles pour le compte d’une autre, elle est reconnue comme sous-traitant selon le RGPD. C’est également le cas pour les solutions « clé en main » qui traitent des données personnelles.
En l’espèce, dans le cadre de ses missions, l’agence de développement web a accès à des données à caractère personnel des clients de ses clients professionnels.
Dès lors, ce prestataire informatique doit s’assurer de respecter les consignes définies par le responsable de traitement (entreprise propriétaire du site ou de l’application) et prévoir les différentes obligations qui leur incombent sur la base de la réglementation applicable (articles 4.7, 4.8 et 28.10 du RGPD)
Par contre, si le sous-traitant utilise les données de ce traitement à son compte (ex : gestion client, comptabilité), il est considéré comme responsable de traitement pour ce traitement spécifique.
Pourquoi est-il crucial d’avoir un contrat RGPD clair ?
Le responsable de traitement et le sous-traitant doivent élaborer un contrat qui comporte plusieurs mentions obligatoires au titre de l’article 28 du RGPD.
Le rôle d’un avocat compétent dans ce processus est d’organiser les obligations respectives des deux parties, d’intégrer toutes les mentions obligatoires en fonction de la situation et de mettre en œuvre ces obligations.
Comment définir et encadrer le traitement de données ?
Votre contrat RGPD doit clairement définir l’objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de données et les personnes concernées.
Toute opération de traitement non prévue dans le contrat nécessite des instructions écrites du responsable de traitement ou une renégociation du contrat.
Par ailleurs, ce contrat permet de prévoir les modalités de recours à d’autres sous-traitants par le prestataire informatique.
Assurer une sous-traitance RGPD sécurisée avec l’aide d’un avocat
En effet, des procédures peuvent être mises en oeuvre afin de documenter, mettre à disposition du responsable de traitement à tout moment des documents attestant du respect du RGPD ou encore s’assurer que :
- le sous-traitant utilise des outils respectueux du RGPD ;
- le maintien d’une sécurité technique ;
- le sous-traitant aide le responsable dans la réponse aux demandes d’exercice de droits des personnes concernées par la collecte ;
- les instructions du responsable de traitement soient délivrées par écrit ;
- le sous-traitant tient à jour et rédige un registre de traitement pour le compte du responsable de traitement.
Les obligations sont nombreuses et doivent être respectées par le sous-traitant dans le cadre de son activité.
En résumé, naviguer à travers les eaux parfois troubles du RGPD peut être complexe.
Que vous soyez responsable de traitement ou sous-traitant, la collaboration avec un avocat expert en RGPD pour rédiger votre contrat de sous-traitance sécurisera vos opérations en vous permettant de respecter la réglementation et de protéger les données personnelles que vous traitez.
Si vous avez des questions supplémentaires ou si vous avez besoin d’aide pour la rédaction de votre accord de sous-traitance RGPD, n’hésitez pas à me contacter.