ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
  1. Accueil
  2. Travailler avec un sous-traitant dans une collectivité

Travailler avec un sous-traitant dans une collectivité

18 septembre 2019

Le sous-traitant, au sens du RGPD, est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (le responsable de traitement), dans le cadre d’un service ou d’une prestation.

Vous êtes concerné, en qualité de responsable de traitement, si vous choisissez de confier le traitement des données à des prestataires qui seront vos sous-traitants (exemple : hébergeurs de données, prestataires de services, etc.).

Le RGPD consacre une logique de responsabilisation de tous les acteurs impliqués dans un traitement de données personnelles en y incluant les sous-traitants.

Ceux-ci doivent vous aider, dans une démarche active et permanente de mise en conformité de vos traitements.

Exemple de sous-traitance : une collectivité peut décider de confier la maintenance informatique à une société. La société est alors le sous-traitant de la collectivité au sens du RGPD.

Quelles sont les obligations des sous-traitants ?

Les obligations suivantes doivent être précisées dans un contrat :

  • une obligation de transparence et de traçabilité : vos instructions sur le traitement doivent être recensées par écrit, le sous-traitant doit tenir un registre qui recense les traitements effectués pour votre compte, votre autorisation doit être demandée s’il souhaite faire appel lui-même à un sous-traitant et il doit mettre à votre disposition toutes les informations nécessaires pour démontrer le respect de vos obligations et pour permettre la réalisation d’audits ;
  • la prise en compte des principes de protection des données dès la conception et par défaut ;
  • une obligation de garantir la sécurité des données traitées ;
  • une obligation d’assistance, d’alerte et de conseil (par exemple une procédure de notification des violations de données personnelles doit être fixée).

Comment intégrer les obligations des sous-traitants dans les marchés publics ?

Les marchés publics conclus avec des sous-traitants doivent comprendre les clauses obliga­toires prévues par l'article 28 du RGPD. Pour les marchés en cours avant le 25 mai 2018, des avenants doivent procéder à l’ajout de celles-ci.

Il est recommandé aux acheteurs publics d’insérer dans leurs contrats publics les clauses adéquates en se référant au clausier type élaboré par la CNIL dans le guide « RGPD : Guide du sous-traitant ».

Bonne pratique

Si les modalités d’exercice des droits ne sont pas prévues clairement dans les clauses, un sous-trai­tant pourrait demander à facturer l’extraction de données en vue de répondre au droit d’accès d’une personne concernée.

Texte reference

Pour aller plus loin

Ceci peut également vous intéresser ...

Non-désignation d’un délégué à la protection des données : la CNIL sanctionne la commune de Kourou
Le 12 décembre 2023, la CNIL a prononcé une amende et une injonction sous astreinte à ...
19 décembre 2023
Sanction
La CNIL sera présente au Salon des maires et des collectivités locales du 21 au 23 novembre 2023
27 octobre 2023
Évènement
La publication en ligne des documents des collectivités territoriales liés à l’exercice de leur pouvoir décisionnaire
Les documents des collectivités se rapportant à l’exercice de l’autorité publique peuvent ...
10 juillet 2023
Collectivités territoriales