Travailler avec un sous-traitant dans une collectivité
Le sous-traitant, au sens du RGPD, est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (le responsable de traitement), dans le cadre d’un service ou d’une prestation.
Vous êtes concerné, en qualité de responsable de traitement, si vous choisissez de confier le traitement des données à des prestataires qui seront vos sous-traitants (exemple : hébergeurs de données, prestataires de services, etc.).
Le RGPD consacre une logique de responsabilisation de tous les acteurs impliqués dans un traitement de données personnelles en y incluant les sous-traitants.
Ceux-ci doivent vous aider, dans une démarche active et permanente de mise en conformité de vos traitements.
Exemple de sous-traitance : une collectivité peut décider de confier la maintenance informatique à une société. La société est alors le sous-traitant de la collectivité au sens du RGPD.
Quelles sont les obligations des sous-traitants ?
Les obligations suivantes doivent être précisées dans un contrat :
- une obligation de transparence et de traçabilité : vos instructions sur le traitement doivent être recensées par écrit, le sous-traitant doit tenir un registre qui recense les traitements effectués pour votre compte, votre autorisation doit être demandée s’il souhaite faire appel lui-même à un sous-traitant et il doit mettre à votre disposition toutes les informations nécessaires pour démontrer le respect de vos obligations et pour permettre la réalisation d’audits ;
- la prise en compte des principes de protection des données dès la conception et par défaut ;
- une obligation de garantir la sécurité des données traitées ;
- une obligation d’assistance, d’alerte et de conseil (par exemple une procédure de notification des violations de données personnelles doit être fixée).
Comment intégrer les obligations des sous-traitants dans les marchés publics ?
Les marchés publics conclus avec des sous-traitants doivent comprendre les clauses obligatoires prévues par l'article 28 du RGPD. Pour les marchés en cours avant le 25 mai 2018, des avenants doivent procéder à l’ajout de celles-ci.
Il est recommandé aux acheteurs publics d’insérer dans leurs contrats publics les clauses adéquates en se référant au clausier type élaboré par la CNIL dans le guide « RGPD : Guide du sous-traitant ».
Bonne pratique
Si les modalités d’exercice des droits ne sont pas prévues clairement dans les clauses, un sous-traitant pourrait demander à facturer l’extraction de données en vue de répondre au droit d’accès d’une personne concernée.