Connexion Pro

Conseils pour votre quotidien d'entrepreneur

RGPD : avez-vous pensé à vos sous-traitants ?

François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez la gestion des données personnelles de vos clients.

YouTube conditionne la lecture de ses vidéos au dépôt de traceurs. Pour en savoir plus, vous pouvez cliquer sur "Paramétrer".

Paramétrer

 

Suite à l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, vous avez
– normalement – revu vos procédures afin de sécuriser le traitement des données à caractère personnel,
qu’elles soient numériques ou papiers (mailing, gestion de paie, etc.).

Toutes les entreprises, administrations ou associations, établies sur le territoire de l’Union Europénne ou dont l’activité cible des résidents européens sont aujourd’hui concernées. Mais qu’en est-il si vous avez délégué le traitement des données personnelles de vos clients à un sous-traitant ?

Vous restez responsable car le RGPD a mis en place une responsabilité solidaire, c’est-à-dire une co-responsabilité avec le sous-traitant, renforcée par une obligation de collaboration entre vous et lui. Le sous-traitant doit ainsi notifier votre responsable de traitement de toute tentative de violation de données personnelles « dans les meilleurs délais ». Selon la gravité de la violation, votre responsable devra ensuite notifier l’autorité de contrôle et les personnes concernées. 

A SAVOIR

On considère qu’il y a une violation des données à caractère personnel s’il y a une violation de la sécurité qui entraine, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non-autorisé à de telles données(1). Cela peut donc être, par exemple, la suppression accidentelle de données médicales conservées par un établissement de santé, ou la perte d’une clé USB contenant les informations clients d’une société. Il peut aussi s’agir d’une introduction malveillante dans une base de données afin de les modifier ou les copier.

(1) Article 4.12 du RGPD

Nous vous recommandons donc de renforcer le contenu de vos contrats de sous-traitance, en incluant par exemple une clause stipulant que le sous-traitant devra effectuer pour votre compte cette notification à la CNIL et aux clients concernés. Mais même dans ce cas, vous devrez mettre à jour le registre des violations et rester maître de la décision de notifier ou non à l’autorité de contrôle, en fonction du risque estimé.

De manière générale, le contrat de sous-traitance doit clairement définir et délimiter les missions du sous-traitant, son périmètre d’intervention, ses obligations et ses responsabilités.

Enfin, n’oubliez pas que désormais votre sous-traitant a obligation d’assistance, d’alerte et de conseil envers vous. Il doit donc :

  • Vous prévenir si une de vos instructions constitue une violation des règles en matière de protection des données ;
  • Vous aider à donner suite à la demande d’un client d’exercer ses droits sur ses données ;
  • Et vous apporter la bonne information en cas de violation de données, notamment en précisant les impacts éventuels.

Ne prenez pas ce sujet à la légère en précisant bien les termes du contrat !

Pour rappel, en cas de violation ou d’utilisation abusive de données, la CNIL peut ordonner la suspension ou la suppression de services et/ou prononcer des condamnations financières pouvant aller jusqu’à 20 millions € ou 4 % du chiffre d’affaires annuel.

Voir les autres articles du dossier

RGPD : la certification de votre DPO

Près de deux ans après l'entrée en vigueur du RGPD, 26% des entreprises concernées ont déclaré la nomination d'un délégué à la protection des données (DPO)(1). Une bonne raison pour vérifier si votre entreprise est soumise à cette obligation…

Fraude en entreprise : comment s’en protéger et réagir ?

La fraude en entreprise est un risque bien réel. Selon une étude menée par Grant Thornton en 2017, plus des trois quarts des entreprises interrogées déclaraient avoir subi une tentative de fraude au cours des deux dernières années(1). Focus sur les principaux types de fraude pour mieux vous en prémunir et adopter...

Données personnelles et RGPD : la FAQ des pros et entreprises

Le 25 mai 2018, le Règlement Général sur la Protection des Données est entré en application au sein de l’Union Européenne. Renforçant la protection des données personnelles, il implique la responsabilité des entreprises et les amène à se poser des questions quant aux changements engendrés par ce règlement, à ses...

.

© SFIO_CRACHO/Shutterstock
Assurance cyber-risques MMA :
Protégez votre entreprise !

La dématérialisation des procédures - due à l'essor du télétravail - expose vos collaborateurs et votre entreprise à de nouveaux risques : vol de données, hameçonnage, défaillances liées aux logiciels. Avec l’assurance Cyber-Risques MMA, vous bénéficiez de garanties d’assurance adaptées(1).

(1) Nos prises en charge sont faites en application des garanties ou options souscrites et des conditions, limites, exclusions de garanties et du montant des franchises qui sont précisées dans les Conditions Générales, Conditions Particulières du contrat  Assurance Cyber –Risques MMA.