Le RGPD (Règlement Général pour la Protection des Données) désigne spécifiquement les sous-traitants. Plus précisément, le RGPD donne un sens particulier à la notion de sous-traitant dans le cadre de la gestion et de l’exploitation des données.
Le sous-traitant est celui qui « traite des données à caractère personnel pour le compte du responsable du traitement », celui-ci étant la personne qui « détermine les finalités et les moyens du traitement ». Ces notions sont définies dans l’article 4 du RGPD.

Concrètement, quels sont les sous-traitant concernés par le RGPD ? Qu’implique cette notion et comment être en conformité avec le RGPD ? Quelles sont les sanctions encourues par le sous-traitant ?
Cette situation peut être délicate et il est donc nécessaire de faire le point sur la notion de sous-traitant.

Qu’est-ce qu’un sous-traitant au sens du RGPD ?

On l’a vu, la définition du sous-traitant par le RGPD est très particulière et très éloignée du sens économique du terme. En réalité, de nombreuses entreprises sont considérées comme sous-traitantes au sens du RGPD. Il n’est pas nécessaire que votre société ait pour but de traiter les données mais seulement que le service rendu à vos clients implique l’utilisation de la donnée.

Concrètement, ce peut être le cas d’une agence de communication ou de marketing qui va utiliser les données collectées par ses clients pour produire des analyses en fonction de ces statistiques. C’est aussi le cas des agences immobilières visées par le RGPD lorsqu’elles collectent des informations de leurs clients. L’échange d’information est très fréquent entre les agences et peut leur donner le statut de sous-traitant au sens du règlement.

Vous le voyez, de très nombreux types d’entreprise peuvent être concernés par le statut de sous-traitant au sens du RGPD. Il suffit que vous ayez, à un moment ou à un autre d’un service rendu à une autre société, accès à la donnée collectée par cette société dans le cadre de votre service.
Enfin, il est à noter que cette notion de sous-traitant ne vise aucun type ou taille de société en particulier. Comme pour le RGPD en général, les PME et TPE sont donc potentiellement concernées.

RGPD et sous-traitance : mode d’emploi

Le RGPD impose un certain nombre d’obligations nouvelles pour les sous-traitants. Si vous avez besoin d’une piqûre de rappel plus générale sur le RGPD, vous pouvez consulter notre article sur le RGPD pour les nuls. Voici les principales obligations pour les sous-traitants :
Transparence et traçabilité : cette notion implique que le contrat de sous-traitance établi avec votre client indique précisément quelles sont les obligations de chaque partie concernant la gestion des données, et notamment les instructions données par le client sur le traitement des données. D’autre part, vous devez tenir un registre recensant vos clients et le traitement des données que vous avez effectué. Enfin, vous devez tenir à disposition de votre client toutes les informations démontrant que vous traitez les données dans le respect du RGPD ;
Protection des données par défaut : votre fonctionnement doit potentiellement être modifié pour offrir par défaut à votre client les garanties nécessaires au respect de la sécurité de la donnée. Cela concerne notamment la « minimisation des données » (ne collecter que les données strictement nécessaires à votre activité). Ces protections doivent être offertes par défaut ;
Garantir la sécurité : De même qu’une entreprise classique, vous devez prendre les mesures nécessaires à la protection des données traitées. Par exemple, il s’agit de supprimer toutes les données collectées une fois leur utilisation terminée. Vous pouvez nommer un DPO chargé du RGPD pour vous aider dans ces étapes techniques (et dans certains cas, sa désignation est obligatoire) ;
Obligation d’alerte et de conseil : D’une part, vous devez notifier votre client de toute violation au RGPD qu’une de ses instructions pourrait constituer. Surtout, vous devez conseiller et aider votre client dans la mesure du possible pour qu’il respecte également les droits de ses utilisateurs en matière de sécurité de la donnée.

Pour plus de détails sur ces obligations, vous pouvez consulter le guide de la CNIL sur la sous-traitance.

Sous-traitants : quelles sanctions ?

En cas de violation de la sécurité de la donnée et donc du RGPD, le sous-traitant peut être tenu responsable. Très concrètement, une série de cas est défini dans lesquels la responsabilité du sous-traitant peut être retenu. C’est le cas naturellement si vous ne respectez pas les règles de sécurité des échanges. De même, si vous ne remplissez pas vos obligations d’aide ou de tenue de registre mentionnées plus haut. Enfin, par exemple, si vous faites appel à un sous-traitant dans le cadre de votre activité, celui-ci doit présenter les mêmes garanties car il sera, tout comme vous, soumis au même règlement.

Dans le cas d’une violation, vous risquez donc d’être tenu responsable. Ainsi, vous pouvez être condamné à réparer intégralement le préjudice de toute personne ayant subi un dommage en raison de la violation.
Surtout, vous pouvez faire l’objet de sanctions administratives par la CNIL. Dans le cas d’infractions graves, celles-ci peuvent s’élever jusqu'à 4% de votre chiffre d’affaires annuel mondial ou jusqu’à 10 à 20 millions d’euros selon le type d’infraction. Le montant le plus élevé est retenu pour calculer l’amende administrative.

Bien gérer le RGPD et la conformité de votre entreprise est donc essentiel et peut vous éviter des sanctions importantes ! Mettre en place les bonnes solutions est non seulement obligatoire mais aussi crucial pour votre entreprise.

Better Seald than sorry.

Essayez Seald avec votre équipe.