Prestataire externe et RGPD : la fiche pratique La définition d’un sous-traitant dans le cadre du RGPD 

Nos services

  • le diagnostic

    L’organisation entière de l’entreprise est passée au crible. L’objectif est d’en maitriser le foncti…

    En savoir plus
  • Le DPO

    Le RGPD fixe de nouvelles règles et oblige certains organismes à désigner un DPO.

    En savoir plus
  • L’accompagnement au changement

    Un changement ne s’opère jamais seul. C’est pour cela que nous avons imaginé et créé …

    En savoir plus
  • La mise en conformité dans différents domaines

    Les exigences du RGPD sont vastes et touchent à chaque métier de votre entreprise.

    En savoir plus
  • La formation

    Le RGPD ce n’est pas sorcier mais comme vous le savez aucun changement ne s’opère…

Selon l’article 4 du règlement général sur la protection des données, un sous-traitant traite des données personnelles pour le compte d’un responsable de traitement “qui détermine les finalités et les moyens d’un traitement.” 

 

Un grand nombre de prestataires sont concernés

De nombreuses prestations sous-traitées impliquent le traitement des données personnelles : prestataires de services informatiques, agences de communication, marketing, ressources humaines externalisées…

 

Sous-traitant, responsable de traitement, la différence

  • Il s’agit généralement de la personne morale (entreprise, collectivité, etc.) incarnée par son représentant légal (président, maire, etc.) qui détermine les finalités et les moyens d’un traitement. 

  • Le soustraitant, au sens du RGPD, est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (le responsable de traitement), dans le cadre d’un service ou d’une prestation…

 

Les obligations du sous-traitant 

  1. Transparence et traçabilité 

  • Les relations contractuelles avec le responsable de traitement doivent faire l’objet d’une contractualisation qui permet de définir les rôles des parties et leurs obligations. 

  • Agir uniquement sur instruction du responsable de traitement

  • Informer le client de toute sous-traitance ultérieure.

  • Mettre à la disposition de votre client toutes les informations nécessaires pour démontrer le respect de vos obligations et pour permettre la réalisation d’audits. 

  • Tenir un registre de traitement qui recense les activités de traitement que vous effectuez pour le compte de vos clients. 

  1. Conseil et assistance

Le sous-traitant est tenu de :

  • Informer votre client dès lors qu’une instruction donnée par ce dernier constitue une violation des règles en matière de protection des données.

  • Aider votre client à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.

  • L’assister dans ses réponses aux demandes d’exercice des droits introduites par des personnes concernées.

  1. Protection des données dès la conception et/ou par défaut

Il est indispensable de proposer aux clients pour lesquels vous mettez en œuvre des traitements, les garanties nécessaires qui leur permettront de se conformer à leurs obligations légales. Cela signifie notamment :

  • La Privacy by design : la protection des données et de la vie privée est à intégrer dès la conception des outils, produits et applications ou services proposés. 

  • La Privacy by default : vos outils, produits, applications ou services doivent garantir par défaut que seules sont traitées les données nécessaires à la finalité du traitement. 

  1. Sécurité

Toutes les mesures techniques et organisationnelles déployées doivent permettre d’apporter un haut niveau de protection des données, à titre d’exemples : pseudonymisation, chiffrement, confidentialité, sensibilisation des collaborateurs, disponibilité et résilience des traitements, récupération, correctifs…

 

Avant d’externaliser une prestation, il est indispensable de : 

  1. Définir clairement les prestations que vous souhaitez externaliser. 

  2. Sélectionner rigoureusement vos sous-traitants en privilégiant la conformité au prix attractif qui peut être proposé.

  3. Exiger des preuves de conformité du prestataire avant de contracter.

  4. Encadrer vos relations contractuelles et assurez-vous que vos exigences, au regard des traitements que vous allez confier, soient bien prises en compte.

  5. Privilégier des solutions respectueuses des droits et libertés des personnes.

 

Les questions à poser à un prestataire externe avant de vous engager 

  • Hébergement : où sont stockées vos données ? En UE ou hors de l’UE ?

  • La sécurité : quelles sont les mesures techniques et organisationnelles mises en place pour garantir la sécurité et la confidentialité des données. 

  • Assistance : le prestataire a-t-il désigné un délégué à la Protection des Données ou une personne en charge du sujet conformité au sein de son organisation.

Notre cabinet RGPD assure diagnostics, plan d’actions de mise en conformité RGPD, mise en œuvre de conformité, audit RGPD des sous-traitants, missions de DPO externe et tous les volets de votre projet de mise en conformité avec le règlement européen.

Besoin de notre aide ?