Le RGPD (Règlement général sur la protection des données) est entré en vigueur le 25 mai dernier et les sites web sont particulièrement touchés par les nouvelles règles sur le traitement des données personnelles.
L’un des gros changements apportés par le RGPD concerne la relation du responsable de traitement avec les sous-traitants : hébergeurs, gestion d’emailing, logiciel SAAS…. Le RGPD consacre son « CHAPITRE IV - Responsable du traitement et sous-traitant du RGPD » aux obligations des responsables de traitement et de leurs sous-traitants.
Avez-vous fait tout ce qui était nécessaire avec vos sous-traitants pour vous mettre en conformité avec le RGPD ?
RGPD et sous-traitance : quels changements ?
Selon le RGPD, un sous-traitant est défini comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (article 4, 8) RGPD).
Le Guide du sous-traitant, édité par la CNIL, donne des exemples de sous-traitant comme : les prestataires de service informatique, les intégrateurs de logiciels, les entreprises de sécurité informatique, les agences de marketing, les agences web… Dès qu’une entreprise traite des données personnelles pour votre compte et selon vos instructions, elle est considérée comme un sous-traitant. Cela s’applique même si le sous-traitant est situé hors UE, du moment que les données personnelles traitées sont celles de résidents de l’UE.
Le grand changement apporté par le RGPD est que désormais vos sous-traitants sont co-responsables avec vous du traitement des données personnelles. De nouvelles obligations sont d’ailleurs imposées à vos sous-traitants, comme par exemple :
- vous aider à mettre en œuvre les actions pour vous mettre en conformité avec le RGPD, comme vous conseiller sur une éventuelle étude d’impact
- faire appel à des sous-traitants sûrs, c’est-à-dire qui présentent « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées » pour respecter les nouvelles règles concernant les données personnelles (art 28)
- recueillir une autorisation écrite de votre part avant de travailler avec un autre sous-traitant
- assurer la sécurité des données personnelles auxquelles ils ont accès : le règlement précise qu’ils doivent prendre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32)
- vous informer s’ils ont eu connaissance d’une violation de données à caractère personnel dans les meilleurs délais.
Que faire concrètement pour être sûr d’être conforme au RGPD ?
- Faire l’inventaire des traitements que chaque sous-traitant réalise pour vous
- Vérifier que vous avez bien donné une autorisation à votre sous-traitant pour faire appel à d’autres sous-traitants
- S’assurer que votre sous-traitant garantit la sécurité des données personnelles auxquelles il a accès : faites le point avec votre sous-traitant sur les différents moyens mis en œuvre pour assurer la sécurité des données qu’ils traitent pour votre compte. Cela vous sera utile pour remplir votre registre de traitement ou réaliser votre étude d’impact.
- Mettre en relation votre DPO et votre sous-traitant : si le RGPD vous oblige à nommer un DPO (Data protection officer), il sera judicieux de transmettre ses coordonnées à votre sous-traitant et inversement. Il sera ainsi plus facile pour les deux parties de travailler en collaboration et s’assurer que vous respecter les règles du RGPD
- Signer un nouveau contrat avec vos sous-traitants : il vous permet de poser par écrit les obligations de chacun, de recueillir votre accord pour faire appel à des sous-traitants ou encore de déterminer les traitements que le sous-traitant réalise pour votre compte.
Chez FGP Solutions, nous prenons le traitement des données personnelles de nos clients très au sérieux. Après leur avoir proposé un plan d’action, nous avons déployé les efforts nécessaires pour rendre les sites de nos clients conformes au RGPD.