Le règlement général relatif à la protection des données personnelles applicable depuis le mois de mai 2018 (RGPD) a rendu les sous-traitants partiellement responsable des traitements de données qu’ils mettent en oeuvre pour le compte des tiers. Leurs relations avec les tiers et les autorités s’en trouvent, par conséquent, modifiées dans la mesure où il ne bénéficient plus d’une totale immunité, notamment en matière de sécurité des données.
Changement des relations avec les autorités et les tiers
Jusqu’à présent, les sous-traitants n’avait qu’une responsabilité contractuelle vis-à-vis du responsable de traitement sous réserve qu’il y ait un contrat écrit entre eux.
Depuis mai 2018, ils sont partiellement responsables du traitement de données qu’ils mettent en oeuvre pour le compte de tiers.
En pratique, cela signifie qu’une autorité est désormais autorisée à auditer et à sanctionner directement un sous-traitant ne respectant par les dispositions du RGPD.
Le sous-traitant est soumis aux obligations légales décrites ci-après et peut être tenu responsable de leur violation même en l’absence de contrat avec le responsable de traitement.
Nouvelles obligations du sous-traitant :
– Tenir un registre des traitements de données effectués pour le compte des responsables de traitements.
– Mettre en œuvre les procédures et les mesures de sécurité nécessaires et être en mesure d’informer le responsable de traitement en cas de violation de la sécurité.
– Être en mesure de contester les instructions du responsable de traitement lorsqu’elles sont contraires à la loi (l’étendue de cette obligation n’est pas claire, mais nous pouvons imaginer qu’en cas de violation importante ou évidente du GDPR, le sous-traitant pourrait être impliqué et sanctionné par les autorités).
– Mettre en œuvre les procédures nécessaires pour assister le responsable de traitement avec toutes les demandes des personnes concernées (demande d’accès, effacement, portabilité, etc.)
– S’assurer de sous-traiter à un autre sous-traitant avec le consentement ou selon les cas, l’information préalable du responsable de traitement et en ayant signé un contrat similaire à celui signé avec le responsable de traitement.
Les sous-traitants devrait également envisager d’adhérer à un code de conduite ou obtenir une certification afin de plus facilement prouver sa conformité avec le GDPR et de réduire ses responsabilités en cas de violation des dispositions. Ces codes de conduite et d’accréditation devraient être élaborés très prochainement par les autorités et des sociétés indépendantes autorisée.
Cette publication est également disponible en en_GB.