SommaireLe Règlement général sur la protection des données reconnaît un rôle majeur aux sous-traitants, dans le traitement des données personnellesToutes informations liées à une personne physique identifiée ou qui pourrait être identifiée via des éléments qui lui sont propres.. À cet égard, ce règlement leur impose un certain nombre d’obligations du fait de leur statut. De quelle manière ces sous-traitants doivent-ils donc appliquer le RGPD ?
Qui est concerné par le RGPD ?
En tant que sous-traitant, il convient de comprendre si vos activités mettent votre entreprise sous le coup du RGPD.
Qu'est-ce qu'un sous-traitant ?
Le sous-traitant est une personne physique ou morale traitant certaines activités d’une organisation pour le compte de celle-ci. Il s’agit généralement d’activités non stratégiques de la part de la structure cliente. De la sorte, cette structure peut se consacrer pleinement à son cœur de métier.
Le sous-traitant peut par exemple avoir à traiter la paye, la gestion des ressources humaines, ou même avoir la charge du système d’information de l’entreprise (infogérance).
À cet effet, ce sous-traitant peut avoir à traiter un certain nombre de données personnellesToutes informations liées à une personne physique identifiée ou qui pourrait être identifiée via des éléments qui lui sont propres..
Client, sous-traitant : Quelles sont les responsabilités ?
Dans le cadre de sa prestation, le sous-traitant rend compte à un « responsable de traitement », qui est l’entreprise cliente.
Dans un premier temps, vous êtes concerné en qualité de responsable de traitement lorsque vous êtes détenteur de données personnellesToutes informations liées à une personne physique identifiée ou qui pourrait être identifiée via des éléments qui lui sont propres., même si vous en confiez la gestion à un sous-traitant.
Par exemple, vous êtes responsable des données personnellesToutes informations liées à une personne physique identifiée ou qui pourrait être identifiée via des éléments qui lui sont propres. de vos employés lorsque vous confiez la gestion RH ou de la paye à un prestataire. En effet, ces données confiées au prestataire émanent de votre entreprise, et vous les avez recueillies dans le cadre du traitement RH de vos salariés.
Le sous-traitant est lui aussi concerné par la protection des données. Étant donné qu’il a la charge de données qui lui sont confiées, il doit mettre tout en œuvre pour que le traitement de ces données respectent le RGDP.
Au final, responsable de traitement et sous-traitant se partagent les responsabilités dans le cadre du traitement de données. Intégrateurs, hébergeurs, SSII, etc. doivent donc s’assurer de prendre les mesures adéquates afin de garantir la protection des données traitées.
Quel est le rôle du sous-traitant en matière de RGPD ?
Les sous-traitants ont donc une responsabilité importante en matière de confidentialité, sécurité et documentation de leur activité à l’égard des clients.
Le principe de la protection des données doit être pris en compte dès le moment même de la conception de la solution proposée aux entreprises clientes. C’est ce que l’on appelle principe du « privacy by design » qui implique la mise en œuvre de moyens techniques garantissant la protection de ces données.
À titre d’exemple, plutôt que des champs de textes libres à mettre en place au moment de la création d’un outil CRM, l’éditeur pourrait privilégier des listes déroulantes permettant de remplir des informations pertinentes, eu égard à la finalité de l’outil proposé. Ce qui évite le remplissage de ces champs par des textes pouvant être peu pertinents. Une liste déroulante permettra alors de n’insérer que des données neutres et objectives.
Le sous-traitant a par ailleurs une obligation de conseil auprès de ses clients. Il doit par exemple insister afin que ceux-ci effectuent des mises à jour régulières des solutions utilisées afin de coller toujours aux requis de la réglementation. Ils doivent en outre les accompagner dans la mise en applicationSe dit souvent application mobile. Se télécharge à titre gratuit ou payant depuis le système d’exploitation d’un smartphone ou d’une tablette. de différents aspects du règlement (notification de compromission de la sécurité des données aux concernés, sécurité, étude d’impact du traitement de données sur la vie privée, etc.).
Les sous-traitants doivent par ailleurs tenir un registre de leurs différentes activités de traitement de données. Ils ont en plus l’obligation de le faire pour le compte de leurs clients.
