Le RGPD est un nouveau règlement commun à toute l’Union européenne qui vise à garantir la protection des données personnelles de citoyens européens. Entré en vigueur en mai 2018, il s’adresse à toutes les entreprises qui collectent ou traitent des données de résidents du territoire, qu’elles soient basées en Europe ou à l’étranger, qu’elles soient publiques ou privées, qu’elles soient grandes ou petites.
Mais n’oublions pas les sous-traitants. Ils sont autant concernés par le RGPD qu’une entreprise qui effectue un traitement de données personnelles pour son compte. Le sous traitant RGPD est une personne physique ou morale qui traite des données pour le compte d’un tiers. Généralement, il travaille sous l’autorité du responsable de traitement, qui est chargé de définir les finalités et les moyens utilisés pour le traitement.
Qui sont les sous traitants RGPD ?
Les sous-traitants peuvent être des prestataires de services informatiques, des intégrateurs de logiciels, des organismes de sécurité informatique ou de service du numérique, des agences de marketing ou de communication, des sociétés proposant des services B2B qui nécessitent un traitement de données, des organismes publics ou encore des associations. En bref, un sous traitant RGPD peut être n’importe quel prestataire ou n’importe quelle société qui peut avoir besoin d’effectuer un traitement de données dans le cadre de ses services.
L’application du RGPD par les sous-traitants
Le Règlement Général sur la Protection des Données vise à responsabiliser les entreprises qui effectuent des traitements de données personnelles sur les citoyens de l’Union européenne. Pour le sous traitant RGPD, il s’agit d’aider le responsable de traitement dans la démarche de mise en conformité.
L’article 28 du RGPD impose plusieurs règles au sous traitant RGPD :
- Il doit avoir des garanties suffisantes par rapport à la mise en oeuvre des mesures techniques et organisationnelles adéquates pour que le traitement de données soit conforme au RGPD
- Il n’a pas le droit de faire appel à un autre sous-traitant sans avoir obtenu une autorisation au préalable, écrite par le responsable de traitement
- Il effectue le traitement de données personnelles dans le cadre d’un contrat ou d’un autre acte juridique, lequel fait le lien entre le sous traitant RGPD et le responsable de traitement mais établit aussi la nature du traitement, sa durée, son objectif, etc.
- Un autre sous-traitant doit, de la même façon, respecter le même règlement
- Une autorité de contrôle peut parfois adopter des clauses contractuelles
- Le contrat ou l’autre acte juridique doit être écrit et numérique
- Le sous traitant RGPD devient le responsable du traitement si c’est lui qui en définit les finalités et les moyens
Un registre des catégories d’activités de traitement doit absolument être tenu à jour, que ce soit par le sous-traitant ou par le représentant de ce dernier. Ce registre comprend les noms et coordonnées du sous traitant RGPD mais aussi du responsable de traitement, du DPO, etc., les catégories des traitements effectués, les transmissions de données vers un pays tiers ou vers une structure internationale, les documents attestant des garanties appropriées et, enfin, le descriptif des mesures de sécurité techniques et organisationnelles.