La CNIL a publié, le 29 septembre 2017, un «Guide du sous-traitant» visant à clarifier l’incidence, pour les sous-traitants, de l’adoption du RGPD. Ceux-ci sont en effet profondément impactés par l’adoption du nouveau dispositif de protection des données, qui les fait entrer dans le champ d’application de la règlementation quand la Directive 95/46/CE ne s’appliquait qu’aux responsables de traitement.
Par Anne-Laure Villedieu, avocat associé, CMS Bureau Francis Lefebvre
Le sous-traitant est défini comme la personne qui opère un traitement de données personnelles pour le compte, sur instructions et sous l’autorité d’un responsable de traitement. Au contraire du responsable de traitement, il ne détermine pas les finalités et moyens du traitement.
La qualité de sous-traitant s’apprécie, à l’aune de l’avis 1/2010 du G29, au cas par cas, par application du faisceau d’indices suivant :
- Le niveau d’instruction donné par le client pour la réalisation de la prestation ;
- Le degré de contrôle de l’exécution du client sur la prestation ;
- La valeur ajoutée fournie par le prestataire ;
- Le degré de transparence sur le recours à un prestataire.
En cas de non-respect de ses obligations, le sous-traitant peut être tenu responsable du dommage matériel ou moral causé et faire l’objet de sanctions administratives pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, et dans le cas d’une entreprise, jusqu’à 2 ou 4 % du chiffre d’affaire annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.
Le sous-traitant est soumis à quatre obligations principales imposant la mise en place de mesures concrètes afin que le traitement réponde aux exigences du règlement et garantisse la protection des données traitées :
Obligation de transparence et traçabilité
Le sous-traitant et son client sont tenus d’établir un contrat ou un autre acte juridique précisant les obligations des parties et reprenant les dispositions de l’article 28 du règlement. Le sous-traitant doit également recenser toutes les instructions du client concernant le traitement des données personnelles, obtenir son autorisation écrite pour faire appel à un autre sous-traitant, lui fournir toutes informations nécessaires pour démontrer le respect de ses obligations et tenir un registre recensant les clients et décrivant les traitements effectués pour leur compte.
Principes de protection des données dès la conception de la prestation et de protection des données par défaut
Le sous-traitant doit...
