Un sous-traitant au sens du RGPD c’est un partenaire qui traite des données personnelles pour votre compte dans le cadre d’un service ou d’une prestation. (par exemple votre expert comptable quand il établit vos fiches de paye)
En tant que responsable de traitement, vous êtes concerné si vous choisissez de confier un traitement de ces données à ce type de prestataire.
Vous allez logiquement avoir des obligations tout comme vos sous-traitants :
- Une obligation de transparence et de traçabilité :
- Il faut que vous recensiez par écrit vos instructions sur le ou les traitements.
- Dans le cas où vos sous-traitants souhaitent sous-traiter eux aussi, ils doivent obtenir votre accord avant.
- Les sous-traitants doivent tenir un registre où ils recensent tous les traitements qu’ils réalisent pour vous.
- Ils doivent également vous permettre d’accéder à toutes les informations nécessaires pour démontrer le respect de leurs obligations.
- Une obligation de garantir la sécurité des données traitées.
- Une obligation de notification dès lors qu’il y a une violation de données qui s’apparente à une obligation d’assistance, d’alerte et de conseil.
Vous devez donc mettre en place une procédure pour s’assurer que vos sous-traitants sont bien conforme au RGPD.
Il faut qu’ils justifient de la mise en place de mesures technique et organisationnelles pour sécuriser les données des traitements que vous leur avez confiés.
Il faut donc revoir vos contrat de sous-traitance en ajoutant certaines clauses. Par exemple une clause de rappel du rôle du sous-traitant, une clause sur le respect des mesures de sécurité posées par l’article 32 du RGPD, etc…
Attention : Une victime pourra aussi se retourner contre le responsable de traitement pour réparer le préjudice subi.
Vos sous-traitants peuvent voir alors leur responsabilité engagée dans le cas où ceux-ci n’auraient pas respecté le contrat ou n’auraient pas respecté le RGPD. Il faut donc faire très attention à la rédaction et à la révision de vos contrats de sous-traitance.
Vous trouverez ici un exemple de contrat de sous-traitance. Ce document n’est qu’un exemple. Il convient de l’adapter à vos besoins et de le faire valider par votre juriste interne ou votre cabinet d’avocat.
