RGPD et sous-traitance : quelles responsabilités pour les parties prenantes ?

RGPD et sous-traitance : quelles responsabilités pour les parties prenantes ?

Avant le RGPD, un sous-traitant étant rarement inquiété en cas de non conformité à la loi informatique et liverté. Les différents mises en demeures et sanctions publiés par la CNIL le montre bien. Seul le responsable de traitement était inquiété, car il est responsable des agissements de son sous-traitants. Exemple : Optical Center a été sanctionné suite à des erreurs commises par son sous-traitant.

Avec le RGPD, la situation change. Le sous-traitant est désormais co-responsable.

 

Qu’est-ce que cela signifie ?

Rappelons tout d’abord la définition de sous-traitant au sens du RGPD. Il s’agit d’un organisme qui traite des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation.

Votre fournisseur de CRM, de vidéo-surveillance, de service de marketing et même le prestataire qui gère la cantine sont donc des sous-traitants.

Votre entreprise lui a donné des instructions pour qu’il traite des données; a défni ce qu’il peut ou ne peut pas faire; a indiqué s’il peut ou non faire appel à un autre sous-traitant. Tout ceci faisant l’objet de clauses contractuelles spécifiques comme l’exige le RGPD.

Si d’aventure le sous-traitant ne respecte pas ces clauses, alors il peut être le seul inquiété par la CNIL.

La mise en demeure du groupe HUMANIS, par la CNIL, le montre bien.

 

Quelles leçons tirer de la mise en demeure de sociétés du groupe Malakoff-Médéric?

 

Parmi leurs activités, les sociétés qui composent le groupe Malakoff-Médéric, mettent en oeuvre les régimes de retraite complémentaire, en exploitant les données fournies par les fédérations AGIRC-ARRCO. On pourrait donc considérer que le groupe Malakoff-Médéricest sous-traitant de l’AGIRC-ARCCO et qu’en quand de manquement, c’est l’AGIRC-ARRCO qui devra en répondre au près de la CNIL.

Auxia, une société du groupe Malakof-Médéric, a utilisé les données transmises par l’Agir-Arrco à des fins de prospections commerciales. L’AGirc-Arrco étant responsable des agissements de ses sous-traitants, il serait logique que la CNIL la mette en demeure. Mais après investigations, la CNIL a constaté que :

  • l’Agir-Arrco avait clairement interdit à ses sous-traitants d’exploiter les données à des fins autres que celles nécessaires à la mise en oeuvre de  la retraite complémentaire
  • rappelé cela dans des courriers adressés à ces sous-traitants
  • Indiqué cet état de fait dans la déclaration des traitements qui avaient été faite auprès de la CNIL.

La CNIL a donc considéré qu’Auxia a agit seul et l’a donc considéré comme étant le responsable de traitement pour ses activités de prospection et l’a mise en demeure.

 

Que retenir ?

Pensez à mettre à jour vos contrats. Dans ces contrats, ajoutez toutes les clauses exigées par le RGPD, notamment pour l’encadrement des traitements :

  • Refusez explicitement que le sous-traitant réalise un traitement sans votre accord explicite.
  • Listez tous les traitements que vous avez autorisés

Si ensuite votre sous-traitant décide de réaliser des traitements que vous n’avez pas autorisé, lui seul sera tenu responsable.

 

La CNIL a fourni des exemples de contrats de sous-traitance (lien ci-dessous). Vous pouvez vous en service comme base et les adapter à votre contexte. Pour des contrats complexes, nous vous conseillons de faire appel à un avocat. Stratechno travaille pour ces types de contrats avec Maître Marie Abadie.

Si vous avez des questions plus spécifiques, n’hésitez pas à faire appel à notre service d’assistance à distance.

 

Liens utiles :

2018-11-08T12:07:25+00:00
%d blogueurs aiment cette page :