RGPD : quelle répartition des responsabilités entre sous-traitant et responsable du traitement ?

RGPD : qui est concerné

Il est essentiel de bien distinguer les notions de responsable de traitement et de sous-traitant, car le RGPD les soumet à un régime juridique différent.

 

RGPD : quelques définitions importantes à retenir

Il faut d’abord s’interroger sur ce que le RGPD entend par traitement. Le RGPD en donne la définition la plus large qui soit, il s’agit de : “toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction”.

Le responsable de traitement est considéré comme l’entité qui détermine la politique de gestion des données personnelles au sein de son organisation. Cette entité peut être une personne physique (ex : un médecin) comme une personne morale qui peut être une société privée (ex : une société civile ou commerciale) ou une autorité publique (un ministère, un service public, une mairie).

Une société commerciale est responsable du traitement réalisé sur les données à caractère personnel de ses clients, prospects, prestataires et fournisseurs, mais également du traitement des données de ses collaborateurs.

En pratique :

  • Sellsy est responsable du traitement pour ce qui concerne les données personnelles de ses clients comme de ses salariés et fournisseurs
  • Les clients de Sellsy sont responsables du traitement pour ce qui concerne les données personnelles de leurs propres clients et salariés

Le sous-traitant est l’entité qui traite des données à caractère personnel pour le compte du responsable de traitement. Il peut s’agir d’une personne physique comme d’une personne morale (ex : prestataires de services informatiques, éditeurs de logiciels en SaaS, prestataires d’envoi d’emails, sms, courrier, hébergeurs, intégrateurs de logiciels, etc.).

En pratique :

  • Sellsy est sous-traitant de ses clients
 

Le responsable de traitement : en quoi est-il concerné ?

C’est au responsable de traitement, et à lui seul, de déterminer :

  • Les finalités du traitement : il s’agit des raisons pour lesquelles il réalise le traitement (ex : mise en place d’un CRM pour la gestion des clients et des prospects, mise en place d’une video pour la surveillance des locaux, gestion des salariés…)
  • Les moyens du traitement : il s’agit des différentes modalités de mise en œuvre du traitement, par exemple, la durée de conservation des données, les mesures de sécurité qui y sont affectées, le choix d’un sous-traitant…

Le RGPD impose au responsable de traitement de respecter un certain nombre d’obligations, et principalement, de :

  • S’assurer que le traitement est licite et que les personnes sont suffisamment informées sur la nature et l’étendue du traitement (ex : recueil d’un consentement, mentions d’information sur un formulaire de collecte)
  • Répondre aux demandes des personnes concernées par le traitement (accès, rectification, opposition, suppression des données)
  • Consigner dans un registre les différents traitements de données à caractère personnel qu’il réalise 
  • Notifier aux personnes concernées les violations de sécurité 
  • S’assurer que le sous-traitant qu’il choisit présente des garanties de protection suffisantes

Le non-respect de ces obligations engage sa responsabilité et une sanction administrative peut être prononcée à son encontre par la CNIL. Le RGPD prévoit également la possibilité d’une responsabilité partagée entre plusieurs responsables de traitement, lorsqu’ils déterminent conjointement les finalités et les moyens du traitement. Hormis les sanctions administratives, des condamnations pénales peuvent également être délivrées par les tribunaux.

 

Le sous-traitant : en quoi est-il concerné ?

Le RGPD a responsabilisé tous les acteurs impliqués dans le traitement des données à caractère personnel. Lorsque le sous-traitant traite des données à caractère personnel, il peut lui aussi voir sa responsabilité engagée, au même titre que le responsable de traitement.

Le sous-traitant doit respecter des obligations communes avec le responsable de traitement comme la tenue d’un registre des traitements, la mise en œuvre des mesures de sécurité, ou encore l’obligation de notification au responsable de traitement en cas de violation des données.

Il est également soumis à des obligations spécifiques, telles que :

  • Respecter à la lettre les instructions documentées du responsable de traitement 
  • Garantir la confidentialité des données qui lui sont confiées par le responsable de traitement, par ses collaborateurs et ses propres sous-traitants 
  • Supprimer les données à caractère personnel au terme de la prestation (sauf obligation légale spécifique) 
  • Demander l’autorisation du responsable de traitement pour le recrutement d’un sous-traitant ultérieur 
  • Permettre au responsable de traitement de procéder à un audit 
  • Aider le responsable de traitement à garantir sa propre obligation de sécurité 
  • Aider le responsable de traitement en cas de violation de ses données

Ces obligations doivent désormais être rappelées dans le contrat conclu entre le responsable de traitement et le sous-traitant. Elles figurent bien entendu depuis le 25 mai 2018 dans les conditions générales de vente et d’utilisation de la solution Sellsy.

 

À lire aussi :

Nos experts vous aident dans votre mise en conformité : téléchargez notre guide et regardez notre webinar