Le Règlement Général sur la Protection des Données (RGPD) s’inscrit dans une logique de responsabilisation de tous les acteurs impliqués dans le traitement de données personnelles.
Le Responsable de traitement engage sa responsabilité, mais à l’image du domaine de la construction, les Sous-traitants, ou Partenaires qui traitent des données pour le compte du Responsable de traitement engage leur responsabilité vis-à-vis de celui-ci.
Article 4.8 du RGPD :
« La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
Comme détaillé dans la page Qui est concerné par le RGPD ? cette disposition s’applique à tout Sous-traitant établi dans l’Union européenne, ou dont l’activité de traitement cible des personnes qui se trouvent sur le territoire européen.
Exemples de situation de sous-traitance soumise au RGPD :
- La gestion du service comptable par une société d’expert-comptable
- La maintenance informatique du système d’information par une société externe
- L’impression des cartes de visites par une société spécialisée
- La conservation des informations RH sur un logiciel de gestion
- La transmission des mensurations de mes employés pour confectionner l’uniforme
- Le recours à une agence marketing pour la publicité
LE STATUT DU SOUS-TRAITANT
Tiers au Responsable de traitement, le Sous-traitant n’est pas responsable du traitement de données à caractères personnel vis-à-vis de la personne dont les données ont été collectées.
Toutefois, le Sous-traitant se doit de mettre en œuvre des mesures techniques et organisationnelle appropriée de manière à ce que le traitement des données à caractère personnelle confiée par le Responsable de traitement réponde aux exigences du RGPD.
Le Sous-traitant se doit d’être en conformité avec le RGPD.
En cas de manquement à ses obligations au titre du RGPD, ou lorsqu’il agit en dehors des instructions du Responsable de traitement, le Sous-traitant peut voir sa responsabilité engagée.
LES OBLIGATIONS RGPD DU SOUS-TRAITANT
Si le Sous-traitant engage sa responsabilité seulement vis-à-vis du Responsable de traitement, le RGPD met en place des règles strictes à respecter par le Sous-traitant.
Ainsi, le Sous-traitant doit respecter :
- Une obligation de transparence et de traçabilité lors du traitement des données ;
- Une obligation de sécurité des données traitées ;
- Une obligation d’alerte, d’assistance et de conseil auprès du Responsable de traitement ;
- Une obligation de contrôle du respect des dispositions du RGPD par ses Sous-traitants ;
- La tenue d’un registre des activités de sous-traitance
Lien utile