Entré en vigueur le 25 mai dernier, le RGPD n’a pas toujours été pris bien au sérieux par toutes les structures. Presque 6 mois après son application, on assiste encore à des suspensions ou à des indisponibilités de service pour les citoyens européens, tandis que certaines structures finalisent encore leur mise en conformité.
C’est pourquoi on peut dire qu’il s’agit d’un sujet d’actualité et qu’il est encore utile de mettre en évidence les différentes façons de bien appliquer cette loi.
La responsabilité intrinsèque de chaque structure quant à la conformité vis-à-vis de ce dispositif est facile à mettre en évidence. Mais il est une question qui est moins explorée, celle de la responsabilité en cascade, ou délégation de la responsabilité liée au RGPD lorsque les données sont traitées ou hébergées par un sous-traitant, qu’il s’agisse d’un hébergeur web, d’un prestataire internet ou d’un éditeur logiciel par exemple.
Dans cet article, Déessi vous présente l’essentiel à connaître concernant l’application de la loi RGPD en relation avec ses sous-traitants, et les bonnes pratiques à mettre en place sur ce sujet.
1 – Rappel : qu’est-ce que le RGPD
Pour rappel, le RGPD, littéralement, le Règlement Général pour la Protection des Données, est une directive européenne qui s’est appliquée à partir du 25 mai 2018 et qui impose des responsabilités concernant le traitement et la gestion des données personnelles des citoyens européens.
2 – RGPD : qui est concerné
Toutes les entreprises sont responsables vis-à-vis du RGPD du moment que les données concernées sont des données de citoyens européens.
3 – Le RGPD en bref
Le RGPD impose aux entreprises des responsabilités vis-à-vis la gestion des données personnelles des utilisateurs. Cette exploitation des données peut avoir des fins de gestion en interne, des fins de marketing ou de prospection par exemple, pour citer des cas courants. Cette loi oblige les entreprises à connaître les flux de données qui circulent à l’intérieur de leur système d’information et à les maîtriser. Elle impose également une prise de conscience et des mesures de protection concernant la sécurité des données et les éventuels incidents qui peuvent s’y rapporter.
4 – RGPD : qu’en est-il du sous-traitant ?
Une entreprise collecte et gère des données dont elle est responsable. Mais cela ne s’arrête pas là. Car le RGPD suppose également une forme de responsabilité en chaîne, dans laquelle chaque organisme est tenu de s’assurer de la conformité de ses éventuels sous-traitants. Autrement dit, il ne suffit pas de confier la gestion de ses données où leur hébergement à un prestataire pour être libéré de ses obligations.
5 – Le devoir de vérifier la capacité du sous-traitant à assurer son obligation
Si vous disposez d’un sous-traitant qui est en charge d’une quelconque façon de l’exploitation ou de la conservation des données que vous exploitez, il vous faut alors également vous renseigner sur la capacité de ce sous-traitant à respecter la législation.
6 – RGPD et partenaires : Identifier les responsabilités
En pratique, il s’agit de distinguer d’une part le responsable du traitement, c’est-à-dire celui qui collecte les données de façon directe ou indirecte, et d’autre part le sous-traitant, qui traite les données pour le compte de ce responsable du traitement. Par exemple, un hébergeur web est un sous-traitant et le client est lui-même le responsable du traitement.
Puis il faut délimiter les responsabilités de chacun, et dans l’idéal, les contractualiser.
Il est fort probable que de nombreuses entreprises se retrouvent à la fois responsable de traitement pour certaines données et sous-traitant pour d’autres. L’élaboration d’un schéma mettant en évidence les flux de données et les différentes relations avec les partenaires peut s’avérer indispensable pour mettre au clair ces différents points.
7 – RGPD et devoir de transparence
Les choses se compliquent dans le cas de sous-traitance en cascade, car la loi indique une obligation de transparence entre le sous-traitant et son client concernant la façon dont les données sont gérées. Ainsi, il est expressément indiqué à l’article 28 du RGPD que le sous-traitant ne peut pas recruter un autre sous-traitant sans l’autorisation écrite préalable spécifique ou générale du responsable de traitement.
8 – RGPD : le sous-traitant garanti l’intégrité et la sécurité des données
Le sous-traitant, par exemple un hébergeur web, possède la responsabilité de garantir l’intégrité, la sécurité et la confidentialité des données qui lui sont confiées par ses clients en mettant pour cela en œuvre toutes les mesures techniques et organisationnelles nécessaires.
Concrètement, cela signifie que les données doivent être hébergées sur des serveurs sécurisés. L’accès aux données doit être managé de façon responsable et bien entendu les données doivent être sauvegardées sur des serveurs redondés de façon à éliminer les risques de perte ou d’altération en cas d’incident technique.
9 – RGPD : L’hébergeur dispose d’un rôle de conseil
Pour continuer sur l’exemple de l’hébergeur web, en tant qu’expert de la gestion du système d’information, ce dernier possède également un rôle de conseil quant aux différentes manières de mettre en conformité la gestion de ses données avec la loi.
10 – Sous traitant et RGPD : la clause de contrat
Il est utile, voire indispensable de disposer avec son sous-traitant d’une nouvelle clause dans le contrat liant les deux parties et qui définit les nouvelles obligations de chacun.
Nous venons ainsi de voir que le RGPD est venu apporter de la complexité concernant la gestion des relations avec les sous-traitants. Il est nécessaire de s’assurer qu’ils respectent également le règlement, de contractualiser les responsabilités de chacun, et pour le sous-traitant il y a une obligation de transparence. C’est pourquoi il est important de choisir avec soin ses prestataires sous-traitants, et en particulier de faire le choix d’entreprises qui maîtrisent parfaitement ces aspects à la fois techniques et juridiques.
