Avant le RGPD, il y avait une distinction relativement claire entre le Responsable du Traitement (RT) et le sous-traitant. Ce n’est plus le cas avec les nouvelles obligations imposées par le RGPD. En cas de manquement, les sous-traitants risquent également des sanctions.

De quels sous-traitants parle-t-on ?

À partir du 25 mai 2018, les sous-traitants des données personnelles devront modifier certaines de leurs pratiques pour se conformer aux obligations imposées par le RGPD. Les sous-traitants dont on parle ici sont « les organismes qui traitent des données personnelles pour le compte d’un autre organisme (RT), dans le cadre d’un service ou d’une prestation ». Parmi les principaux concernés, on peut citer :

  • Les prestataires de services informatiques (fournisseurs d’hébergement, maintenance de matériel informatique…)
  • Les intégrateurs de logiciels (ayant généralement quasi illimité aux données de leur client)
  • Les sociétés de sécurité informatique
  • Les entreprises de services du numérique, connu également sous le nom de SSII
  • Les agences de marketing ou de communication qui manipulent et traitent des données personnelles pour leurs clients (profilage, recherche de prospects, recherche de contact pour compagne d’émailing…).

Quelles sont les obligations qui s’imposent aux sous-traitants ?

Avec l’arrivée du RPGD, les sous-traitants doivent respecter des obligations bien définies en matière de sécurité et de confidentialité.

Prise en compte du RGPD dans la conception des service

Les sous-traitants doivent prendre en considération les nouvelles règles sur la protection des données au moment de la conception de leur service ou de leur produit tout en mettant en place des mesures garantissant une protection plus accrue des données.

Une obligation de conseil

Les sous-traitants doivent également aider leurs clients dans la mise en œuvre de certaines obligations décrites dans le RGPD. Ils peuvent notamment intervenir dans la DPIA ou apporter leur contribution aux audits de conformité.

Établissement d’un registre des activités de traitement de données

Certains sous-traitants devront tenir un registre des activités de traitement de données effectuées pour leurs clients. Ce sera le cas à partir du moment où le prestataire remplira l’une des conditions suivantes :

  • Personnel dépassant les 250 employés ;
  • Mise en œuvre d’activité de traitement présentant un risque élevé pour les droits et libertés des individus ;
  • Activités de traitement de données non occasionnelles ;
  • Activités de traitement portant sur des données sensibles ;

Bref, avec le RGPD, client et sous-traitant devront suivre de nouvelles obligations pour renforcer la sécurité des données personnelles qu’ils manipulent. Pour faciliter leur démarche de mise en conformité, ceux soumis aux obligations du RGPD peuvent trouver de l’aide auprès de la CNIL ou auprès d’un expert dans la protection de données.