Connexion Pro

Conseils pour votre quotidien d'entrepreneur

RGPD : avez-vous pensé à vos sous-traitants ?

François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez la gestion des données personnelles de vos clients.

YouTube conditionne la lecture de ses vidéos au dépôt de traceurs. Pour en savoir plus, vous pouvez cliquer sur "Paramétrer".

Paramétrer

 

Suite à l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, vous avez
– normalement – revu vos procédures afin de sécuriser le traitement des données à caractère personnel,
qu’elles soient numériques ou papiers (mailing, gestion de paie, etc.).

Toutes les entreprises, administrations ou associations, établies sur le territoire de l’Union Europénne ou dont l’activité cible des résidents européens sont aujourd’hui concernées. Mais qu’en est-il si vous avez délégué le traitement des données personnelles de vos clients à un sous-traitant ?

Vous restez responsable car le RGPD a mis en place une responsabilité solidaire, c’est-à-dire une co-responsabilité avec le sous-traitant, renforcée par une obligation de collaboration entre vous et lui. Le sous-traitant doit ainsi notifier votre responsable de traitement de toute tentative de violation de données personnelles « dans les meilleurs délais ». Selon la gravité de la violation, votre responsable devra ensuite notifier l’autorité de contrôle et les personnes concernées. 

A SAVOIR

On considère qu’il y a une violation des données à caractère personnel s’il y a une violation de la sécurité qui entraine, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non-autorisé à de telles données(1). Cela peut donc être, par exemple, la suppression accidentelle de données médicales conservées par un établissement de santé, ou la perte d’une clé USB contenant les informations clients d’une société. Il peut aussi s’agir d’une introduction malveillante dans une base de données afin de les modifier ou les copier.

(1) Article 4.12 du RGPD

Nous vous recommandons donc de renforcer le contenu de vos contrats de sous-traitance, en incluant par exemple une clause stipulant que le sous-traitant devra effectuer pour votre compte cette notification à la CNIL et aux clients concernés. Mais même dans ce cas, vous devrez mettre à jour le registre des violations et rester maître de la décision de notifier ou non à l’autorité de contrôle, en fonction du risque estimé.

De manière générale, le contrat de sous-traitance doit clairement définir et délimiter les missions du sous-traitant, son périmètre d’intervention, ses obligations et ses responsabilités.

Enfin, n’oubliez pas que désormais votre sous-traitant a obligation d’assistance, d’alerte et de conseil envers vous. Il doit donc :

  • Vous prévenir si une de vos instructions constitue une violation des règles en matière de protection des données ;
  • Vous aider à donner suite à la demande d’un client d’exercer ses droits sur ses données ;
  • Et vous apporter la bonne information en cas de violation de données, notamment en précisant les impacts éventuels.

Ne prenez pas ce sujet à la légère en précisant bien les termes du contrat !

Pour rappel, en cas de violation ou d’utilisation abusive de données, la CNIL peut ordonner la suspension ou la suppression de services et/ou prononcer des condamnations financières pouvant aller jusqu’à 20 millions € ou 4 % du chiffre d’affaires annuel.

Voir les autres articles du dossier

RGPD : la certification de votre délégué à la protection des données (DPO)

Plus de trois ans après l'entrée en vigueur du RGPD (règlement général sur la protection des données), la CNIL (Commission nationale de l’informatique et des libertés) recense près de 25 500 délégués à la protection des données (DPO)(1). Une désignation qui peut être obligatoire pour certaines entreprises.

Fraude en entreprise : comment s’en protéger et réagir ?

La fraude en entreprise est un risque bien réel, dont le nombre de tentatives a explosé avec la pandémie de Covid-19 et la digitalisation des échanges. Toutes les entreprises peuvent être concernées, quelles que soient leur taille ou leur secteur d’activité. Comment vous en prémunir et adopter le bon comportement...

Données personnelles et RGPD : la FAQ des pros et entreprises

Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) renforce la responsabilité des entreprises en matière de traitement des données personnelles. Comment l’appliquer et vous mettre en conformité ? MMA a recensé les principales questions que vous vous posez sur cette législatio...

.

© SFIO_CRACHO/Shutterstock
Assurance cyber-risques MMA :
Protégez votre entreprise !

La dématérialisation des procédures - due à l'essor du télétravail - expose vos collaborateurs et votre entreprise à de nouveaux risques : vol de données, hameçonnage, défaillances liées aux logiciels. Avec l’assurance Cyber-Risques MMA, vous bénéficiez de garanties d’assurance adaptées(1).

(1) Nos prises en charge sont faites en application des garanties ou options souscrites et des conditions, limites, exclusions de garanties et du montant des franchises qui sont précisées dans les Conditions Générales, Conditions Particulières du contrat  Assurance Cyber –Risques MMA.