- Le blog et les actualités de Witik
- L’article 28 du RGPD « sous-traitants » au microscope
Tout savoir sur l’article 28 du RGPD : « Sous-traitants »
L’article 28 du RGPD est bien connu des DPO comme l’un des plus importants du texte. En effet, c’est lui qui régit la relation entre les entreprises et leurs sous-traitants (au sens du RGPD).
Et avec lui viennent des obligations importantes pour les entreprises, notamment le fameux audit des sous-traitants. Mais aussi des clauses contractuelles pas toujours évidentes à prévoir entre le responsable de traitement et son sous-traitant.
La question du sous-traitant étant source de risque juridique assez important pour les entreprises, il est utile d’y revenir un peu plus en détail. Et comme toujours, le meilleur moyen de bien comprendre la réglementation est de revenir à sa source : le texte du RGPD lui-même.
On sort donc le microscope pour étudier précisément le texte et plus précisément son article 28. C’est parti !
Responsable de traitement, sous-traitant… les notions à l’oeuvre dans l’article 28 RGPD
L’article 28 du RGPD ne définit pas les notions de sous-traitant et de responsable de traitement qu’il utilise. Pour cela, il faut se rendre à l’article 4 qui contient les définitions du texte européen.
Ainsi, la définition du sous-traitant précise qu’il s’agit de :
la personne physique ou morale, l’autorité publique, le service ou autre organisme...
Avant d’aller plus loin, notons que cette définition est donc extrêmement large. Vous pouvez d’ailleurs très bien être à la fois responsable de traitement et sous-traitant, selon votre activité, pour des opérations différentes.
...qui traite des données à caractère personnel pour le compte du responsable de traitement.
C’est donc le fait de mener une opération de traitement, pour le compte d’un tiers, qui fait de vous un sous-traitant. Le responsable de traitement est alors l’entreprise qui décide de l’opération de traitement.
Par exemple, un hébergeur internet est un sous-traitant de données personnelles. C’est le cas également des intégrateurs de logiciels et plus largement d’éditeurs de nombreux logiciels. Enfin, certaines agences (de développement informatique, de marketing) peuvent être sous-traitants à condition qu’elles aient accès aux données à caractère personnel des clients.
Il est donc très fréquent d’employer les services d’un sous-traitant. Or cette pratique oblige l’entreprise, sur deux grands aspects. D’abord, il faut mener un audit du sous-traitant avant de le choisir ; ensuite, le contrat qui vous la lie au sous-traitant doit comporter des clauses spécifiques.
L'article 28 du RGPD pose l’obligation de l’audit des sous-traitants
Dès son premier point, l’article 28 précise que le responsable de traitement “fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes” quant à la protection des données caractère personnel et à la conformité au RGPD en général.
Le responsable du traitement ne fait appel qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
De cette disposition découle l’obligation pour le responsable de traitement de mener un audit des sous-traitants, notamment avant de choisir un prestataire. Pour le mener à bien, vous pouvez vous outiller d'un logiciel RGPD. Witik vous conseille de vous appuyer sur son module d’audit spécialisé. Celui-ci permet de collaborer efficacement et de façon sécurisée avec les tiers audités, de centraliser les informations dont vous aurez besoin et de définir des seuils d’alerte pour chaque paramètre étudié.
Ainsi, vous pourrez tenir à jour cette observation des sous-traitants tout au long de la relation avec eux.
Il faut encore préciser que dans le cas où des manquements sont perçus par le responsable de traitement, il doit renoncer à collaborer avec son partenaire et se tourner vers un autre prestataire.
Au passage, notons qu’en tant que sous-traitant, le respect de la conformité au RGPD devient donc un argument commercial important !
Le contrat de sous-traitance et les clauses à prévoir
L’article 28 du RGPD prévoit, dans son paragraphe 3, que les relations entre le responsable de traitement et son sous-traitant soient régies par un contrat spécifique. Plus précisément, les différentes mentions obligatoires qui doivent figurer dans ce contrat sont précisées.
Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.
Voici les mentions obligatoires :
Identifier les parties
Qui est le responsable de traitement ? Qui est le sous-traitant ?
Il est indispensable d’indiquer dans le contrat la responsabilité des parties. Il faut les qualifier au regard du RGPD et non pas seulement en tant que « client / prestataire ».
Qui pilote le chantier de la protection des données ?
Les coordonnées directes du délégué à la protection des données, ou équivalent) de chaque partie, responsable de traitement et sous-traitant, doivent être identifiée de manière claire et précise. En cas de doute, de question, ou encore d’incident il est indispensable que les parties puissent communiquer de manière simple, directe et rapide.
Décrire le traitement
Le sous-traitant réalise les prestations « pour le compte » du responsable de traitement.
La mention « pour le compte » doit apparaitre au sein du contrat. Cela appuie la relation de sous-traitance au sens du RGPD.
Quelle est la nature des opérations réalisées ?
Il existe différentes natures d'opération de sous-traitance : collecte, enregistrement, organisation/classement, structuration conservation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, effacement ou destruction, numérisation, tri, impression, saisie, contrôle archivages, etc.
Quelle(s) est(sont) la(les) finalité(s) du traitement ?
Les finalités sont le pourquoi la prestation est réalisée et à quoi vont servir les données à caractère personnel.
Quelle(s) est(sont) la(les) catégorie(s) de données personnelles ?
Il est nécessaire au minimum de lister ces catégories : données d'identification (nom, prénom), vie personnelles (adresse postale privée), vie professionnelle (mail professionnel), données de connexion (logs, adresse IP), données de localisation (déplacements), données d'ordre économique et financiers (coordonnées bancaires).
Si la prestation l'implique le traitement de données personnelles sensibles il est nécessaire de l’indiquer et de préciser lesquelles sont concernées : données révélant l'origine géographique ou ethnique, les opinions politiques ou sociale, les convictions religieuses ou philosophiques, l'appartenance syndicale, données génétiques, biométriques, concernant la santé, relatives aux condamnations pénales ou infractions, le NIR.
Quelle(s) est(sont) la(les) catégorie(s) de personnes concernées ?
Il est nécessaire d’indiquer qui sera visé par le traitement faisant l’objet de la prestation : collaborateurs, clients, prospects, patients, etc.
Définir une durée
Quelle est la durée du traitement ?
La durée du traitement de données à caractère personnel correspond généralement à la durée de la prestation.
Préciser les obligations du sous-traitant
La confidentialité de données à caractère personnel
Dans le contrat il est nécessaire que le sous-traitant s’engage à ne pas utiliser les à caractère personnel en dehors de l'exécution des prestations concernées par le contrat ; à ce que les personnes ayant accès aux données personnelles (collaborateurs, salariés du prestataire) y soient limités et soient soumis à une obligation de confidentialité et enfin à ne pas communiquer les données personnelles traitées à des tiers (personnes morales ou physiques) sauf autorisation spécifique.
La protection des données à caractère personnel par défaut
Ou le privacy by design/by default. Le sous-traitant s'engage à prendre en compte les principes de protection des données personnelles dès la conception et par défaut (concernant les outils, produits, applications ou services utilisés dans le cadre de la prestation).
La sous-traitance ultérieure
Si le prestataire fait lui-même appel à un prestataire pour réaliser la prestation, objet du contrat, il est nécessaire que le responsable de traitement l'ait préalablement accepté.
L’autorisation peut être spécifique ou générale. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous- traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements
L'article 28 paragraphe 2 le stipule très clairement.
Le sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d'émettre des objections à l'encontre de ces changements.
En ce sens, une liste exhaustive des sous-traitants ultérieurs doit être indiquée en mentionnant le(s) nom(s) du/des sous-traitant(s) ultérieur(s) ainsi que les opérations qui leur sont sous-traitées.
L’information et l’exercice des droits des personnes concernées
Le contrat doit indiquer qui, du responsable de traitement ou du sous-traitant, informera les personnes concernées du traitement qui est fait de leurs données à caractère personnel dans le cadre de la prestation.
Il en va de même pour les demandes d’exercice de droits, le sous-traitant doit s’engager à pouvoir assister le responsable de traitement pour répondre aux demandes et l’en informer si les personnes concernées s’adressent directement à lui.
Les violations de données personnelles
C’est peut-être l’une des parties du contrat la plus importante. Même si nous ne vous le souhaitons absolument pas, un incident de sécurité est vite arrivé et peut très arriver chez le sous-traitant à qui le responsable de traitement à confier le traitement de données personnelles. Ainsi il est absolument nécessaire de prévoir que le sous-traitant informe dans un délai maximum le responsable de traitement en cas l’incident de sécurité sur les données à caractère personnel ainsi que le moyen de communication privilégiée pour cet événement.
L’assistance au responsable de traitement
Le sous-traitant se doit d’apporter son aide au responsable de traitement en en cas de réalisation d’analyse d’impact portant sur l'objet de la prestation ou en cas de consultation préalable de l'autorité de contrôle portant également sur l'objet de la prestation.
Les mesures de sécurité sur les données personnelles
Le sous-traitant doit au minimum s'engager à mettre en œuvre toutes les mesures de sécurité organisationnelles et techniques permettant d'assurer la sécurité des données personnelles traitées dans le cadre de la prestation.
Les transferts de données personnelles en dehors de l’Union européenne
Si le prestataire procède à un transfert de données personnelles hors de l'Union européenne, qui sont traitées en vertu du contrat de service, l'approbation préalable du responsable du traitement des données est requise.
Attention : l'hébergement, la sauvegarde et l’archivage des données personnelles dans le cadre de la prestation doivent être réalisés au sein de l’Union Européenne. Ainsi, il est toujours nécessaire de vérifier que les serveurs et l’ensemble des outils utilisés dans le cadre des prestations soient situés en UE.
Dans la mesure où le responsable de traitement accepte ce/ces transfert(s) une liste exhaustive des transferts autorisés doit être indiquée en mentionnant le nom de l'entité vers qui sont transférés les données) ainsi que le pays et les garanties associées.
Préciser les obligations du responsable de traitement
Les engagements du responsable de traitement
Oui, dans un contrat de sous-traitance au sens du RGPD, le responsable de traitement a également des obligations comme le fait de fournir les données personnelles faisant l’objet de la prestation, donner les instructions au sous-traitant et veiller à ce que celui-ci respecte de la règlementation.
Prévoir le sort des données personnelles à l’issue de la prestation
La destruction et/ou la restitution
Une fois la prestation terminée il est indispensable de prévoir ce qu’il sera fait des données à caractère personnel traitées. Le contrat doit permettre au responsable de traitement d’en décider : le sous-traitant apporte la preuve de la destruction (via un certificat de destruction, de suppression) des données personnelles et/ou le sous-traitant restitue les données personnelles dans un format structuré et couramment utilisé.
Déterminer des mesures de contrôle pouvant être opéré par le responsable de traitement
La vérification du respect de la réglementation et des stipulations contractuelles
Le responsable de traitement doit avoir la possibilité, pendant toute la durée de la prestation, de vérifier le respect du RGPD par le sous-traitant. Il peut ainsi demander à ce dernier son registre des traitements RGPD (fiche de traitement sur les opérations sous-traitées), et toute autre documentation permettant au sous-traitant de prouver sa conformité au responsable de traitement : chartes, politiques, politique de sécurité des systèmes d'information, plan de reprise d'activité/de continuité, plan d'assurance sécurité, etc.
Le contrat peut également prévoir des audits via des questionnaires, des réalisations de tests etc. ou dans certains cas des audits sur site.