L’hiver arrive à grand pas : êtes-vous bien couverts par des clauses de sous-traitance ?

Le sous-traitant, au sens du RGPD, est la personne physique ou morale qui traite des données pour le compte d’un autre organisme (le responsable de traitement), dans le cadre d’un service ou d’une prestation.

Si le responsable de traitement devait seul répondre aux obligations de la loi Informatique et Libertés, le RGPD, dans une logique de responsabilisation de tous les acteurs, a également imposé des obligations spécifiques aux sous-traitants depuis son entrée en application le 25 mai 2018.

Puisqu’il n’est pas toujours facile de savoir par où commencer, voici une petite liste de choses à faire pour vérifier vos contrats en toute sérénité.

Etape 1 : vérifier que vos contrats comportent une clause de sous-traitance

La relation de sous-traitance avec un prestataire (pour la maintenance informatique par exemple) doit être encadrée par un contrat. Celui-ci doit notamment prévoir l’objet de la sous-traitance, les obligations du sous-traitant, les obligations du responsable de traitement, les mesures de sécurité prévues par le sous-traitant, etc.

Si le contrat ne prévoit pas de clause relative à la sous-traitance de données à caractère personnel, il conviendra de prendre l’attache de votre prestataire afin de conclure un avenant.

Pour vous aider, la CNIL propose un exemple de clause de sous-traitance disponible au lien suivant : https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses.

Etape 2 : si une clause est présente dans votre contrat, vérifier qu’elle est bien conforme au RGPD

Conformément à l’article 28 du RGPD, certaines dispositions doivent être prévues au contrat, afin d’encadrer la relation de sous-traitance.

A titre d’exemple, le sous-traitant est tenu de :

• garantir la sécurité des données traitées, aussi bien en matière technique qu’en soumettant ses employés à une obligation de confidentialité ;
• assister, conseiller et alerter le responsable de traitement, notamment en cas de violation de données ou d’exercice des droits par une personne ;
• définir les conditions dans lesquelles il peut lui-même faire appel à un sous-traitant ;
• prévoir le sort des données au terme du contrat.

Votre délégué à la protection des données peut vous accompagner pour la lecture de vos contrats et la rédaction des clauses de sous-traitance.

Vous pouvez consulter la fiche de la CNIL au lien suivant : https://www.cnil.fr/fr/sous-traitant