Le Rôle du Responsable de Traitement et du Sous-Traitant
Du point de vue du RGPD, le responsable de traitement est l’entité qui détermine les finalités et les moyens du traitement des données. Par exemple, une entreprise qui décide de lancer une newsletter sera responsable de traitement. Le sous-traitant, quant à lui, agit pour le compte du responsable de traitement, il est assujeti aux ordres du responsable de traitement, pour qui il traite les données. Prenons l’exemple de MailChimp, une plateforme de newsletter qui devient sous-traitant en traitant les données pour le compte d’une autre entreprise.
Il est crucial de noter que le sous-traitant ne peut pas exploiter les données personnelles pour son propre compte. Il doit toujours agir selon les instructions du responsable de traitement.
Les obligations de l’article 28 du RGPD
Pour être conforme, la relation responsable de traitement / sous-traitant doit respecter quatre obligations clés de l’article 28 :
- Garanties suffisantes : Le responsable de traitement ne peut sélectionner que des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.
- Instructions du responsable : Le sous-traitant ne doit intervenir que sur instruction du responsable de traitement. Cette obligation doit être clairement stipulée dans le contrat.
- Autorisation de sous-traitance : Une autorisation écrite est nécessaire pour que le sous-traitant puisse lui-même sous-traiter. Cela permet de maîtriser l’ensemble de la chaîne de traitement.
- Contrat de sous-traitance : Un contrat spécifique de sous-traitance doit être établi, communément appelé “contrat article 28”.
Les garanties suffisantes du sous-traitant
Le sous-traitant doit présenter des garanties adaptées à la taille de son organisation, comme :
- Du personnel dédié et formé à la conformité RGPD et à la sécurité informatique.
- Une expertise suffisante dans le domaine du traitement des données.
- Des mesures de sécurité parfois supérieures à celles du responsable de traitement, notamment si le traitement des données est le cœur de métier du sous-traitant.
Le contrat article 28
Le contrat de sous-traitance doit notamment préciser une série d’éléments tels que :
- L’objet, la durée et les finalités du traitement.
- Le type de données personnelles traitées.
- Les obligations et les droits du responsable de traitement.
- Une clause de réversibilité pour la suppression ou la restitution des données en fin de contrat.
- Des obligations de confidentialité pour le personnel du sous-traitant.
Ce contrat est souvent intégré dans les conditions générales de vente ou dans une annexe de confidentialité (DPA - Data Processing Agreement).
Les enjeux pour votre organisation
- Si vous êtes responsable de traitement, assurez-vous d’avoir un contrat article 28 avec chacun de vos sous-traitants. Pensez à tous les acteurs qui traitent des données pour votre compte : hébergeur, prestataire informatique, comptable, etc.
- Si vous êtes sous-traitant, vérifiez que vous avez bien signé un tel contrat avec vos clients responsables de traitement. Sans ce contrat, vous n’avez pas le droit de traiter les données.
Ne pas respecter ces obligations peut entraîner des sanctions et des amendes. C’est un pilier fondamental de votre conformité RGPD.
Ressources utiles
- Modèle de contrat article 28 - un contrat type normalement facturé 2000€, offert ici gratuitement
- Guide de lecture de l’article 28 du RGPD
- Logiciel de conformité Legiscope avec formation complète
En maîtrisant la relation responsable de traitement / sous-traitant, vous posez des bases solides pour la sécurité des données personnelles que vous traitez.
N’hésitez pas à consulter les ressources proposées et à mettre en place dès maintenant les contrats nécessaires avec vos sous-traitants et responsables de traitement. Votre DPO ou votre service juridique pourra vous accompagner dans cette démarche.