La règlementation sur la protection des données vise à rendre plus strict le cadre juridique applicable aux activités impliquant des traitements de données et à renforcer les sanctions pouvant être prononcées en cas de comportement néfastes aux droits & libertés des personnes concernées. Afin de répondre à ces objectifs, le RGPD entend notamment à clarifier les responsabilités des différents acteurs intervenant dans la collecte et le traitement de données personnelles.
Deux types d’acteurs sont distingués : le responsable de traitement et le sous-traitant. Si le premier réfère à celui qui détermine les finalités et moyens du traitement de données personnelles, le sous-traitant quant à lui traite les données personnelles pour le compte du responsable de traitement.
Le RGPD impose des obligations spécifiques aux sous-traitants. Ces obligations sont destinées à garantir la protection des données à caractère personnel traitées, et il est important que ces derniers en prennent conscience et qu’ils mettent en œuvre les mesures nécessaires pour les respecter. La relation de sous-traitance doit par ailleurs être régie par un contrat ou un autre acte juridique, définissant l’objet et la durée du traitement, sa nature, sa finalité, les données concernées par le traitement ainsi que les droits et obligations de chaque partie.
Les obligations des sous-traitants relatives au RGPD
Ces obligations se retrouvent à l’article 28 du RGPD 1.
Obligation de notification
Un sous-traitant ne peut recruter d’autres sous-traitants sans l’autorisation préalable du responsable de traitement. Cette autorisation peut être spécifique ou générale. Dans le cas d’une autorisation générale, une notification doit être envoyée au responsable de traitement dès lors que le sous-traitant fait appel à un autre sous-traitant. Le responsable de traitement aura la possibilité de s’y opposer. Un contrat de sous-traitance doit en plus être conclu avec chacun des sous-traitants ultérieurs dans l’objectif d’identifier les responsabilités de chacune des parties en matière de protection des données personnelles.
Le sous-traitant doit également informer le responsable de traitement de toute violation de données personnelles dans les meilleurs délais. Cette information doit au minimum comprendre les éléments suivants : la nature de la violation de données personnelles, les catégories et le nombre de personnes concernées, les données personnelles concernées, les mesures prises ou envisagées pour remédier à la violation et pour atténuer les risques pour les personnes concernées.
Obligation de collaboration et d’assistance
Le sous-traitant ne doit traiter les données personnelles qu’en suivant les instructions du responsable de traitement, notamment en ce qui concerne le transfert de données.
Il doit également assister le responsable de traitement dans l’exercice de ses obligations en matière de protection des données. Cela peut inclure la réalisation des analyses d’impact sur la protection des données, la mise en place de mesures techniques et organisationnelles pour sécuriser les données, ou encore la gestion des demandes d’exercice de droit.
Par ailleurs, au terme de la prestation de services, le sous-traitant doit supprimer toutes les données personnelles ou les renvoyer au responsable de traitement selon le choix effectué par ce dernier, et doit détruire toutes les copies existantes, sauf si une exigence légale impose la conservation de ces données.
Obligation de garantir la sécurité et la confidentialité des données
Le sous-traitant doit veiller à ce que les personnes qui sont autorisées à traiter les données personnelles soient soumises à une obligation de confidentialité. Il doit aussi prendre toutes les mesures nécessaires pour garantir la sécurité des données personnelles qu’il traite. Ces mesures doivent notamment protéger les données contre la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux données. Elles doivent être prises dès la conception du traitement et être adaptées au risque, dans une démarche de Privacy by Design.
Ceci nécessite d’identifier et d’évaluer les risques liés au traitement des données personnelles, potentiellement des données sensibles, et de mettre en place des procédures pour tester, évaluer et améliorer l’efficacité des mesures. Le sous-traitant doit ainsi notamment restreindre l’accès aux données personnelles aux seules personnes autorisées, mettre en œuvre des mesures de sécurité physique et logique pour protéger les données, utiliser des systèmes et des logiciels de sécurité fiables, mettre en œuvre des procédures de sauvegarde et de restauration des données, etc.
Obligation de transparence
Le sous-traitant doit mettre à disposition du responsable de traitement les informations et les ressources nécessaires lui permettant de démontrer le bon respect de l’ensemble des dispositions de la règlementation. Ces informations doivent ainsi permettre au responsable de traitement de réaliser des audits et contrôles réguliers.
