Le Règlement Général de Protection des Données (dit « RGPD ») est entré en vigueur le 25 mai 2018 et impose aux sociétés d’assurer d’une protection optimale des données personnelles en leur possession. Ces nouvelles dispositions s’appliquent à l’ensemble des sociétés ayant une activité en France quelle que soit leur taille.
Le RGPD impose ainsi aux entreprises une démarche active en matière de protection des données en les contraignant notamment à recenser les différentes données personnelles dont elles disposent, à justifier de l’utilité de la détention de ces données et à limiter leur conservation dans le temps.
Pour les entreprises qui ne se mettraient pas en conformité, les sanctions prévues sont très lourdes puisqu’en sus des sanctions pénales applicables aux responsables de traitement défaillants, les entreprises non conformes risquent une amende pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial.
En raison de l’étendue des mesures protectrices imposées par le RGPD, ces nouvelles obligations ne se limitent pas aux relations internes des entreprises et rendent nécessaire la revue des relations que peuvent entretenir les entreprises avec leurs sous-traitants amenés à détenir des données personnelles pour le compte du donneur d’ordre. Trois formalités essentielles doivent être évoquées dans le cadre des problématiques de sous-traitance : l’identification des sous-traitants (I), l’audit de conformité et la revue des contrats en cours (II) et la désignation d’un délégué à la protection des données (III).
1°/ L’identification des sous-traitants
Le RGPD impose notamment aux entreprises d’identifier et de recenser les sous-traitants qui sont amenés à avoir accès aux données personnelles détenues. Au sens de l’article 4 alinéa 8 du RGPD, le sous-traitant est défini comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».
En pratique, ces sous-traitants sont très nombreux (prestataires informatiques, comptables, avocats, fournisseurs, agences de marketing …) mais il est tout de même impératif de tous les identifier et de les faire apparaître dans le registre de traitement des données, dont l’élaboration est vivement recommandée quelle que soit la taille de l’entreprise.
Les possibilités de recours à des sous-traitants de second rang pour le sous-traitant doivent également être prévues et identifiées, étant précisé que le sous-traitant initial demeure responsable à l’égard du donneur d’ordre des éventuels manquements qui pourraient être commis par les sous-traitants auxquels il fait appel.
2°/ L’audit de conformité des contrats en cours
L’article 28 du RGPD dispose que « lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
En pratique, il est nécessaire de vérifier que les contrats liant l’entreprise aux sous-traitants :
- identifient les types de données à caractère personnel et les types de personnes concernées par le traitement ;
- justifient de la nature et de la finalité de la détention de ces données personnelles ;
- prévoient des obligations à l’égard du sous-traitant responsable du traitement des données, notamment en matière de mesures de sécurité visant à garantir la protection des données. Des mesures telles que la limitation des personnes ayant accès aux données personnelles, le chiffrement des données et la gestion des habilitations constitueront autant de moyens de limiter les accès aux données personnelles et d’être conforme aux obligations imposées par le RGPD.
Des dispositions spécifiques doivent également être prévues en matière d’exercice de leurs droits par les personnes concernées (accès, rectification notamment), de transfert de données hors de l’Union européenne, de recrutement d’un sous-traitant ultérieur ou de violation de données personnelles.
Compte tenu de ces nouvelles obligations, il est donc impératif de vérifier que les contrats en cours prévoient des dispositions spécifiques et suffisantes en matière de protection des données en procédant à une revue des contrats et, le cas échéant, en les complétant par voie d’avenant afin de rectifier la situation.
De manière générale et pour les futurs contrats, le RGPD oblige à une mise à jour globale des relations avec les sous-traitants et il est vivement conseillé d’insérer dans l’ensemble des contrats des clauses relatives à la politique de protection des données et aux obligations du sous-traitant.
Des modèles et un guide du sous-traitant sont disponibles sur le site de la CNIL et permettront d’avoir une première idée des nouvelles obligations applicables en la matière.
3°/ La désignation d’un délégué à la protection des données
Enfin et bien qu’elle ne soit pas systématiquement impérative, la désignation d’un délégué à la protection des données (« data protection officer ») par chacun des sous-traitants est vivement recommandée et devra être prévue dans les contrats avec les sous-traitants.
Cela permettra en effet d’avoir un interlocuteur désigné chez chacun des sous-traitants afin de répondre efficacement aux problématiques qui pourraient se présenter (violation de données personnelles, demandes de salariés sur l’identification des sous-traitants détenant leurs données, contrôle de la CNIL …) et d’assurer un meilleur suivi des différents traitements de données en place.
Il est en effet impératif de garder à l’esprit que si le RGPD impose l’accomplissement de formalités de mise en conformité à l’occasion de sa mise en œuvre, la protection des données doit être effective à tout instant et doit être adaptée au fur et à mesure de l’évolution des relations avec les sous-traitants à l’occasion, par exemple, de l’introduction de nouvelles technologies chez l’une des parties.
Afin de vous permettre de bénéficier d’un accompagnement et d’un suivi personnalisé dans la mise en conformité de vos relations avec vos sous-traitants au regard du RGPD, HUBERT AVOCAT vous propose un pack d’audit & revue des contrats à un tarif forfaitaire de 990 euros HT. N’hésitez pas à nous contacter en cliquant ici.
La revue de la sous-traitance 