RGPD. Ces quatre initiales sont au cœur de nombreuses discussions à l’heure actuelle au sein des entreprises. Et pour cause,depuis le 25 mai 2018, ce nouveau règlement fait l’objet d’un texte de référence européen en matière de protection des données à caractère personnel. Face à ce changement, un aspect très important doit être impérativement pris en compte par les entreprises, celui de la sous-traitance. Comment les responsables de traitement et les sous-traitants doivent-ils appréhender l’arrivée du RGPD ?
Vers une nouvelle relation entre le responsable de traitement et le sous-traitant
Selon le site du CNRS, « La notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application de la directive 95/46/CE, car elles déterminent la ou les personnes chargées de faire respecter les règles de protection des données, la manière dont les personnes concernées peuvent exercer leurs droits, le droit national applicable, et le degré d’efficacité des autorités chargées de la protection des données. »
La mise en application du Règlement Général sur la Protection des Données entend donc faire évoluer la relation qui unit le responsable de traitement au sous-traitant qui gère en direct les données à caractère personnel d’une entreprise.
Autrement dit, fini le temps où l’on pouvait changer de sous-traitant sans se poser de questions. Dans le cas où un sous-traitant décide de changer de sous-traitant, il doit impérativement en informer le responsable de traitement et mettre en place une procédure parfaitement cadrée.
De ce fait, le sous-traitant et le responsable de traitement doivent avoir un contrat qui liste l’ensemble des responsabilités du sous-traitant. Ce dernier ne peut pas faire n’importe quoi des données : il doit traiter les données à caractère personnel que sur instruction documentée du responsable de traitement. La confidentialité des données à caractère personnel est donc renforcée, les personnes autorisées à y accéder doivent être soumises à la confidentialité.
Le sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles pour répondre aux droits des personnes concernées par le traitement. Au terme de la prestation de services relatifs au traitement, le sous-traitant devra supprimer ou renvoyer toutes les données à caractère personnel au responsable de traitement. Le sous-traitant doit démontrer le respect de ses obligations, il peut se faire auditer pour le démontrer.
Les sous-traitants d’un sous-traitant sont soumis aux mêmes exigences que le sous-traitant. Le sous-traitant est donc considéré comme responsable du traitement pour le traitement en question.
Pour une sécurité renforcée : quels sont les bons réflexes à adopter en cas de violation des données ?
La sécurité du traitement des données à caractère personnel est plus que jamais au cœur des échanges entre le responsable du traitement et son sous-traitant. Pour une sécurité des plus efficaces, la mise en application des articles 33, 34, 35, 36 et 42 du RGPD sera à la base du succès de l’opération de sécurisation des données en cas de violation :
➢ Notifier à l’autorité de contrôle d’une violation de données à caractère personnel (Article 33).
➢ Communiquer à la personne concernée d’une violation de données à caractère personnel (Article 34).
➢ Analyser l’impact relatif à la protection des données (Article 35).
➢ Consulter préalablement l’autorité de contrôle au traitement si l’analyse d’un impact relatif à la protection des données indique que le traitement présente un risque élevé (Article 36).
➢ Certifier que le règlement a été respecté en phase finale (Article 42).
Le responsable de traitement a tout intérêt d’appliquer – et faire appliquer à ses sous-traitants – ces préconisations. C’est en effet lui qui décide et met en place les procédures de traitement des données à caractère personnel et en est responsable légalement. En plus, l’entreprise qu’il représente risque une amende et des dommages et intérêts en cas de plainte : autant d’arguments pour lui donner tous les moyens de réussir.
Une règlementation européenne à portée internationale
Qui est concerné ? Uniquement les entreprises européennes ? Non ! Toutes les entreprises qui utilisent des données personnelles européennes sont soumises à respecter cette nouvelle règlementation, qu’elles soient européennes ou étrangères. Comme l’indique le CNIL, « le règlement européen consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE ». La loi s’assure ainsi une portée internationale, mais aura-t-elle aussi de vrais moyens de contrôle à l’étranger ? C’est l’avenir très proche qui nous le dira.
Info et Guide : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf