Comment le règlement européen sur la protection des données va changer la donne pour les sous-traitants

Par Thibault Verbiest et Dimitri de Sart
Avocats associés DS Avocats

Le Règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus connu sous le nom de RGPD entrera en vigueur le 25 mai 2018 et sera d’application immédiate.

Le RGPD prévoit de nouvelles exigences applicables aux contrats conclus entre les responsables de traitement et les sous-traitants.

Qu’est-ce qu’un sous-traitant?

Au sens du RGPD, le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement. Il s’agit d’une personne juridique distincte du responsable de traitement.

Sont ainsi notamment concernés:

•  les prestataires de services informatiques (hébergement, maintenance,…),

•  les intégrateurs de logiciels,

•  les sociétés de sécurité informatique,

•  les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données,

•  les prestataires (agences de marketing ou de communication, distributeurs,…) qui traitent des données personnelles pour le compte de leurs clients.

Jusqu’à aujourd’hui et sous certaines réserves, seul le responsable du traitement était responsable vis-à-vis des tiers.

Aujourd’hui la donne a changé: le sous-traitant devient par principe responsable et astreint à de nombreuses obligations. Il convient donc être attentif à ces nouvelles obligations qui seront résumées ci-après.

Transparence et traçabilité

Le sous-traitant et son client sont tenus d’établir un contrat écrit précisant les obligations des parties et reprenant les dispositions de l’article 28 du RGPD.

Le contrat devra notamment comprendre les éléments suivants:

•  objet, nature et finalité du traitement
•  durée du traitement;

•  type de données traitées;

•  catégories de personnes concernées;

•  obligations et droits du responsable du traitement;

•  obligations du sous-traitant.

Le sous-traitant doit également recenser toutes les instructions du client concernant le traitement des données personnelles, obtenir de son client l’autorisation écrite pour faire appel à un autre sous-traitant, lui fournir toutes informations nécessaires pour démontrer le respect de ses obligations et tenir un registre qui recense les clients et décrit les traitements effectués pour leur compte.

Confidentialité et sécurité

Le sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles appropriées afin de fournir les garanties nécessaires au regard des exigences du RGPD, notamment de façon à ce que seules soient traitées les données nécessaires à la finalité du traitement. Pour atteindre cet objectif, le sous-traitant sera notamment tenu de:

• soumettre ses employés à une obligation de confidentialité,

•  notifier son client, dans les meilleurs délais, en cas de violation de ses données,

•  prendre les mesures utiles afin de garantir un niveau de sécurité adapté aux risques.

Au terme de sa prestation, le sous-traitant devra détruire ou renvoyer au client les données et copies.

Obligation d’assistance, d’alerte et de conseil du client

En cas de réception d’une instruction susceptible de constituer une violation des règles en matière de données personnelles, le sous-traitant est tenu d’en informer son client. Lorsqu’une personne exerce les droits découlant du RGPD (accès, modification, portabilité, oubli et plus généralement tous droits garantis par le RGPD), le sous-traitant doit dans toute la mesure du possible aider son client à donner suite à cette demande. Le sous-traitant doit enfin assister son client en vue de s’assurer du respect des obligations en matière de sécurité, de notification de violation de données et d’analyse d’impact.

En conclusion, deux constats s’imposent. D’une part, vis-à-vis des tiers, le sous-traitant sera à l’avenir tout autant exposé que le responsable du traitement. D’autre part, compte tenu des nouvelles obligations, nous ne pouvons que recommander au sous-traitant de se mettre en conformité avec le RGPD avant son entrée en vigueur.