04 28 70 91 81
Un sous-traitant peut se définir comme toute personne traitant des données à caractère personnel pour le compte et sous la direction du responsable de traitement. Le sous-traitant se distingue du responsable de traitement qui définit les moyens et finalités du traitement.
Par exemple : le responsable du traitement doit payer ses salariés et générer des fiches de paie. Il peut tout à fait choisir de déléguer cette mission à un tiers. La personne morale qui traite des données personnelles, pour assurer la gestion de la paie, est alors sous-traitante. Elle opère le traitement de données pour le responsable du traitement.
Vous pouvez d’ailleurs voir en replay notre webinar sur le sujet.
La réponse au sondage : » Le sous-traitant doit-il tenir obligatoirement un registre de traitements ? «
A l’occasion d’un sondage réalisé le 9 novembre dernier sur notre page LinkedIn, nous vous avons demandé si le sous-traitant doit impérativement tenir un registre de traitements.
Vous avez été forts ! Sur 157 votants, 92% d’entre vous ont voté oui. Il s’agit effectivement de la bonne réponse, le sous-traitant doit bien tenir un registre de traitements.
L’article 30 du RGPD contraint le sous-traitant à tenir un registre dit de sous-traitance. Celui-ci s’apparente au registre des traitements qui relève des activités du responsable de traitements. Cependant ces registres ne comportent pas exactement les mêmes mentions. Les mentions devant obligatoirement figurer au sein du registre de sous-traitance d’après le RGPD sont les suivantes :
· identités du responsable du traitement et du sous-traitant,
· catégorie de traitement,
· transfert hors Union européenne,
· mesures de sécurité mises en œuvre.
Quelles sont les obligations du sous-traitant ?
1. L’obligation de transparence et de traçabilité
Le sous-traitant a une obligation de transparence et de traçabilité des données envers le responsable du traitement qui lui délègue tout ou partie de son activité. L’article 28 du RGPD préconise d’établir un contrat entre les parties fixant leurs obligations réciproques.
Le sous-traitant doit démontrer ses efforts de conformité au responsable du traitement en réalisant des audits et en tenant un registre de sous-traitance par exemple.
Le sous-traitant doit garantir que les données sont traitées selon les indications du responsable du traitement.
2. L’obligation de respecter les principes essentiels du RGPD
Le sous-traitant doit assurer que les outils qu’il utilise respectent les principes de privacy by design et privacy by default. C’est-à-dire que dès leur conception et par défaut ils respectent le RGPD.
3. L’obligation de garantir la sécurité des données qui sont traitées
Le sous-traitant doit garantir que les données qu’il utilise sont traitées selon des modalités à même de garantir un niveau de sécurité et de confidentialité adéquat par rapport aux risques encourues pour les personnes concernées du fait du traitement. Aussi il doit mettre en œuvre des mesures techniques et organisationnelles à même d’assurer un tel niveau de sécurité en mettant notamment en œuvre des mesures de sécurité physiques et logiques.
4. L’obligation d’alerter, conseiller et assister
Le sous-traitant a pour devoir de conseiller le responsable de traitement sur l’utilisation des données. Il doit aussi l’alerter en cas de risque comme dans le cas d’un incident de sécurité. Il doit également l’assister si nécessaire en cas de demande d’exercice de droits. D’une manière générale il est soumis à une obligation de collaboration pour assister le responsable de traitement. Il convient de définir précisément dans le contrat les modalités et le périmètre de cette collaboration pour éviter toute difficulté le jour où celle-ci doit être mise en œuvre.
Le logiciel Mission RGPD et les sous-traitants
Avec Mission RGPD, vous pouvez auditer vos sous-traitants grâce à nos modèles d’audit. Vous avez également la possibilité de créer vos propres audits personnalisés.
Si vous êtes vous-mêmes sous-traitant, Mission RGPD vous guide pour créer votre registre de sous-traitance et votre registre d’incidents.
Ne perdez plus de temps, c’est si simple !