RGPD : avez-vous pensé à vos sous-traitants ?

François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez le traitement des données personnelles de vos clients.

Suite à l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai dernier, vous avez -normalement- revu vos procédures afin de sécuriser le traitement des données à caractère personnel, qu’elles soient numériques ou papiers (mailing, gestion de paie, etc.).

Toutes les entreprises, administrations ou associations, sont aujourd’hui concernées. Mais qu’en est-il si vous avez délégué le traitement des données personnelles de vos clients à un sous-traitant ?

Vous restez responsable car le RGPD a mis en place une responsabilité solidaire, c’est-à-dire une co-responsabilité avec le sous-traitant, renforcée par une obligation de collaboration entre vous et lui. Le sous-traitant doit ainsi notifier votre responsable de traitement de toute tentative de violation de données personnelles « dans les meilleurs délais ». Et votre responsable dispose lui d’un délai de 72 heures seulement pour notifier client(s) et CNIL.

Nous vous recommandons donc de renforcer le contenu de vos contrats de sous-traitance, en incluant par exemple une clause stipulant que le sous-traitant devra effectuer pour votre compte cette notification à la CNIL et aux clients concernés.

De manière générale, le contrat de sous-traitance doit clairement définir et délimiter les missions du sous-traitant, son périmètre d’intervention, ses obligations et ses responsabilités.

Enfin, n’oubliez pas que désormais votre sous-traitant a obligation d’assistance, d’alerte et de conseil envers vous. Il doit donc :

• vous prévenir si une de vos instructions constitue une violation des règles en matière de protection des données
• vous aider à donner suite à la demande d’un client d’exercer ses droits sur ses données
• et vous apporter la bonne information en cas de violation de données, notamment en précisant les impacts éventuels.

Ne prenez pas ce sujet à la légère en précisant bien les termes du contrat !

Pour rappel, en cas de violation ou d’utilisation abusive de données, la CNIL peut ordonner la suspension ou la suppression de services et/ou prononcer des condamnations financières pouvant aller jusqu’à 20 millions € ou 4 % du chiffre d’affaires annuel.