AccueilDroit et ChiffreRGPD : de la nécessité de documenter ses choix lors du recours à des sous-traitants
PAROLE D'EXPERT

RGPD : de la nécessité de documenter ses choix lors du recours à des sous-traitants

Au-delà des clauses contractuelles, chaque responsable de traitement doit documenter les mesures de sécurité technique et organisationnelle mises en place par ses sous-traitants.
RGPD : de la nécessité de documenter ses choix lors du recours à des sous-traitants
D.R. - Anne Sendra, avocat-Senior Manager - EY Société d'Avocats

Droit et Chiffre Publié le , Anne Sendra, avocat-Senior Manager - EY Société d'Avocats

Le Règlement général sur la protection des données, dit RGPD (règlement UE 2016/679 du 27 avril 2016), impose aux responsables de traitement de s’assurer que les sous-traitants auxquels ils envisagent de faire appel présentent des garanties techniques et organisationnelles suffisantes au regard du respect de la protection des données personnelles (considérant 81 du RGPD).

Au-delà des clauses contractuelles qui doivent être signées entre les parties et qui permettent de formaliser les garanties juridiques dont bénéficient les responsables de traitement sur un certain nombre d’items (assistance en cas de réalisation d’analyse d’impact, de notification de violations de données, etc.), chaque responsable de traitement doit documenter les mesures de sécurité technique et organisationnelle mises en place par ses sous-traitants. Ces vérifications doivent s’étendre aux prestataires ultérieurs auxquels le sous-traitant recourt à son tour dans le cadre des prestations qu’il fournit au responsable de traitement concerné. Les obligations de vigilance et de contrôle du responsable de traitement en cause doivent couvrir l’ensemble des mesures mises en œuvre, quel que soit l’intervenant qui les met en pratique (sous-traitant de premier rang ou de rangs ultérieurs).

Identifier les sous-traitants de second rang a également pour mérite de permettre aux responsables de traitement de vérifier les pays dans lesquels ils sont localisés et de mettre en place les mécanismes adéquats en cas de transfert de données hors de l’Union européenne. La signature d’engagements écrits (qu’ils prennent la forme de Clauses-type de la Commission européenne ou de Binding Corporate Rules) ne sera pas nécessairement suffisante : elle devra être accompagnée de la mise en place de mesures supplémentaires techniques et organisationnelles pour s’assurer du respect du RGPD.

En pratique, les vérifications réalisées par les responsables de traitement se matérialisent le plus souvent par la documentation remise par les sous-traitants (certifications, réponses à un questionnaire, etc.).

Une obligation d’assistance et de conseil pour les sous-traitants

De manière réciproque, le RGPD impose aux sous-traitants une obligation d’assistance et de conseil à l’égard des responsables de traitement (article 28 du RGPD) qui conduit à répartir la responsabilité entre ces acteurs. Sans que le niveau de responsabilité entre ces derniers soit identique, l’obligation du responsable de traitement de vérifier les garanties présentées par les sous-traitants, d’une part, et l’obligation d’assistance du sous-traitant, d’autre part, sont autant de mécanismes juridiques qui permettent à la Commission nationale de l’informatique et des libertés (CNIL) d’engager la responsabilité de chaque partie.

La décision commentée par la CNIL, dans son communiqué du 27 janvier 2021 (décision non rendue publique), illustre d’ailleurs parfaitement cette interaction entre un responsable de traitement et son sous-traitant puisque la commission a prononcé deux amendes distinctes : 150 000 € à l’encontre du responsable de traitement et 75 000 € à l’encontre du sous-traitant. La CNIL a souligné que « le responsable de traitement doit décider de la mise en place de mesures et donner des instructions documentées à son sous-traitant. Mais le sous-traitant doit aussi rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles, et les proposer au responsable de traitement. »

Dans ce contexte, il importe que les entreprises veillent à 'challenger ' leurs sous-traitants sur les mesures de sécurité à mettre en place et à documenter par écrit ces échanges.

Partager :
Abonnez-vous
  • Abonnement intégral papier + numérique

  • Nos suppléments et numéros spéciaux

  • Accès illimité à nos services

S'abonner
Journal du 20 mai 2022

Journal du20 mai 2022

Journal du 13 mai 2022

Journal du13 mai 2022

Journal du 06 mai 2022

Journal du06 mai 2022

Journal du 29 avril 2022

Journal du29 avril 2022

S'abonner
Envoyer à un ami
Connexion
Mot de passe oublié ?