Le RGPD met à la charge des sous-traitants appelés à traiter des données personnelles pour le compte de leurs clients responsables de traitements des obligations spécifiques. Leur responsabilité est susceptible d’être engagée en cas de manquement.
Le Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles. Le RGD impose des obligations spécifiques aux sous-traitants qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements.
Un sous-traitant est une entreprise qui assiste le responsable du traitement dans la réalisation du traitement.
Les sous-traitants traitent des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement.
Ils doivent à e titre indiquer les mesures techniques et organisationnelles qu’ils mettent en œuvre pour protéger ces données.
Et transmettre au responsable de traitements les garanties et les clauses d’engagement qu’ils prennent en leur qualité de sous-traitant.
Ceci afin de garantir le respect de leurs obligations au titre du RGPD.
Les sous-traitants traitent des données à caractère personnel dans le cadre d’un service ou d’une prestation. Par exemple :
- services informatique ;
- sécurité informatique ;
- externalisation de gestion et d’organisation du travail.
Leurs missions et responsabilités doivent être prévues par contrat Dans celui-ci doivent être définies les obligations et les responsabilités de chaque partie.
Sous-traitants: de nouvelles obligations
Dans la mesure où le sous-traitant est amené à traiter des données personnelles, certaines obligations pèsent sur lui, concernant notamment :
- la tenue d’un registre des traitements ;
- la désignation d’un délégué à la protection des données ;
- l’encadrement des flux de données en dehors de l’Union européenne.
En outre, le rôle qu’il joue dans le traitement de données personnelles engage sa responsabilité à l’égard des personnes concernées.
(c) Freepik / Nouveau concept RGPD