Avec l’arrivée du nouveau règlement relatif à la protection des données personnelles applicable à compter du mois de mai 2018 (GDPR), les sous-traitants (entreprises, autorités publiques traitant des données personnelles pour le compte d’un tiers) seront soumis à de nouvelles responsabilités et leurs avec les tiers et les autorités sera par conséquent modifié.
Changement des relations avec les autorités et les tiers:

Jusqu’à présent, les sous-traitants n’avait qu’une responsabilité contractuelle vis-à-vis du responsable de traitement sous réserve qu’il y ait un contrat écrit entre eux.

A partir du mois de mai 2018, ils seront désormais partiellement responsables du traitement de données qu’ils mettent en oeuvre pour le compte de tiers.

En pratique, cela signifie qu’une autorité est désormais autorisée à auditer et à sanctionner directement un sous-traitant ne respectant par les dispositions du GDPR.

Par conséquent,  le sous-traitant sera responsable et soumis aux obligations légales ci-après même en l’absence de contrat avec le responsable de traitement.

Nouvelles obligations du sous-traitant:

– Tenir un registre des traitements de données effectués pour le compte des responsables de traitements.

– Mettre en œuvre les procédures et les mesures de sécurité nécessaires et être en mesure d’informer le responsable de traitement en cas de violation de la sécurité.

– Être en mesure de contester les instructions du responsable de traitement lorsqu’elles sont contraires à la loi (l’étendue de cette obligation n’est pas claire, mais nous pouvons imaginer qu’en cas de violation importante ou évidente du GDPR, le sous-traitant pourrait être impliqué et sanctionné par les autorités).

– Mettre en œuvre les procédures nécessaires pour assister le responsable de traitement avec toutes les demandes des personnes concernées (demande d’accès, effacement, portabilité, etc.)

– S’assurer de sous-traiter à un autre sous-traitant avec le consentement ou selon les cas, l’information préalable du responsable de traitement et en ayant signé un contrat similaire à celui signé avec le responsable de traitement.

Les sous-traitants devrait également envisager d’adhérer à un code de conduite ou obtenir une certification afin de plus facilement prouver sa conformité avec le GDPR et de réduire ses responsabilités en cas de violation des dispositions. Ces codes de conduite et d’accréditation devraient être élaborés très prochainement par les autorités et des sociétés indépendantes autorisée.

Ce article est également disponible en en_GB.

Partage

GDPR : les nouvelles responsabilités des sous-traitants
Étiqueté avec :        

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *