Vous êtes ici : AccueilMots clésRGPD LA SOUS-TRAITANCE

RGPD LA SOUS-TRAITANCE

 

Le RGPD reconnaît le rôle des sous-traitants dans le traitement de données personnelles,et leur impose des obligations particulières.

QUI EST CONCERNÉ ?

Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte d’un autre organisme (le « responsable de traitement »), dans le cadre d’un service ou d’une
prestation.
Vous êtes concerné, en qualité de responsable de traitement, si vous choisissez de confier la gestion de vos données personnelles à des prestataires qui seront vos sous-traitants (exemple : SSII, intégrateurs de logiciels, hébergeurs de données).
Vous êtes concerné, en qualité de sous-traitant, si votre entreprise traite des données personnelles sur instruction et pour le compte d’un autre organisme dans le cadre d’un service ou d’une prestation
(exemple : vous effectuez des opérations de prospection commerciale pour le compte de vos clients).

QUE DOIVENT FAIRE LES SOUS-TRAITANTS ?

Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité.
Ils doivent prendre en compte l’objectif de protection des données personnelles et de la vie privée dès la conception de leur service (principe du « privacy by design ») ou de leur produit, et ils doivent mettre en place des mesures permettant de garantir une protection optimale des données.

EXEMPLE

Un éditeur de logiciel doit s’interroger dès la création de son outil sur les champs que ses clients pourront remplir dans le cadre de son objet. Dans un outil de gestion clients (CRM ou ERP), la présence de champs de texte libre pour insérer des commentaires suite à un contact client peut conduire, par exemple, à inscrire des propos excessifs ou non pertinents. Il est donc utile de prévoir des listes déroulantes de motifs de contacts à la place, qui seront objectifs et neutres.

EXEMPLE

Un hébergeur de données doit proposer à ses clients de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée.
Les sous-traitants ont également une obligation de conseil auprès de leurs clients (exemple : insister auprès de ses clients pour les mises à jour de logiciel).

Ils doivent les aider dans la mise en oeuvre de certaines obligations du règlement (exemple : étude d’impact sur la vie privée, notification de violation de données, sécurité, etc.).
Les sous-traitants doivent enfin tenir un registre des activités de traitement effectuées pour le compte de leurs clients en complément de leurs propres traitements !
Pour déterminer les obligations respectives des responsables de traitements et de leurs sous-traitants, il est nécessaire de rédiger un contrat.

Ce contrat doit prévoir une clause spécifique sur la protection des données personnelles.

 

RETOUR AU COCKPIT

 

 

Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées,divulguées ou vous avez constaté un accès non autorisé à des données) ?
Vous devez le signaler à votre DPO, et en absence de DPO à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées.
Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

 

Euro Data Protection  et Sirpac Informatique sont des marques du Groupe Sirpac SAS