Responsables de traitement et sous-traitants – vos contrats de traitement de données sont-ils conformes au RGPD ?
Le règlement général sur la protection des données, mieux connu sous son acronyme le RGPD, est déjà en vigueur depuis plus d’un an.
Bien que le RGPD ait déjà eu un impact, il semble qu'il y ait encore quelques questions en suspens – par exemple, quelles sont les obligations des responsables de traitement, des sous-traitants et des sous-traitants ultérieurs en ce qui concerne les contrats de traitement des données (CTD) ?
Les obligations essentielles des responsables de traitement sont décrites à l’article 28 du RGPD
Selon le RGPD et dans le cours normal des affaires, les responsables de traitement ont un rôle central à jouer lorsqu'il s'agit d'activités de traitement des données à caractère personnel. De nos jours, de nombreuses sociétés utilisent des sous-traitants. Il n'est pas surprenant que la transparence soit exigée de la part de ceux qui traitent les données, étant donné que, sous certaines conditions, ils peuvent désormais se trouver conjointement responsables des données, avec le responsable de traitement.
Lorsqu'un responsable de traitement fait appel aux services d’un sous-traitant, il est primordial que des garanties suffisantes relatives à la mise en œuvre des mesures techniques et organisationnelles appropriées soient mises en place afin de garantir que les obligations en matière de sécurité des données sont respectées conformément aux exigences du GDPR.
Pourquoi est-ce important ?
Chaque responsable de traitement doit s'assurer que ses activités de traitement soient conformes au RGPD, notamment en ce qui concerne la sécurité et la confidentialité de ses activités de traitement !
Lors de l'engagement d'un responsable du traitement, il est essentiel de s'assurer que le traitement est effectué de manière sécuritaire et conforme au règlement et que le responsable du traitement comprend cette obligation.
En conséquence, le sous-traitant a l'obligation, en vertu du RGPD, de fournir certaines informations au responsable du traitement. Le sous-traitant a également des obligations spécifiques à respecter afin qu’il puisse être certain que les garanties mises en place par ce responsable du traitement sont suffisantes.
Le Contrat de Traitement de Données(ou CTD)
Tout contrat (ou tout autre accord conclu sous la loi de l’Union européenne ou sous la loi d'un État membre de l'UE) qui lie un responsable de traitement à un sous-traitant doit contenir des clauses contractuelles essentielles, allant de dispositions générales à des dispositions spécifiques.
Ce contrat, souvent désigné sous le nom de « contrat de traitement de données » ou un « CTD » est essentiel pour assurer la conformité avec le RGPD.
Tout d'abord, un sous-traitant ne peut agir que sur la base d'instructions claires du responsable de traitement. En outre, le sous-traitant doit respecter la confidentialité des données à caractère personnel traitées et prendre toutes les mesures nécessaires requises par l'article 32 du RGPD en matière de pseudonymisation et de cryptage des données personnelles.
En règle générale, un sous-traitant assiste le responsable du traitement dans le traitement des données personnelles et s'assure de leur conformité avec le RGPD.
Droit à l’information !
Si un responsable de traitement ne respecte pas les dispositions du RGPD, à l’avis du sous-traitant, ce dernier doit informer le responsable de traitement immédiatement! Ces garanties devraient figurer dans le CTD.
Sous-traitance ultérieure ?
Des obligations s'appliquent également lorsqu'un sous-traitant engage d'autres sous-traitants ultérieurs. Un contrat est utile pour établir toutes les obligations requises par l'article 28 du RGPD, telles que les fameuses garanties relatives à la mise en œuvre des mesures techniques et organisationnelles appropriées. Il est possible d'en faire la preuve par la mise en place d'un code de conduite ou par l'intermédiaire d'un mécanisme de certification approuvé.
Attention– si les sous-traitants n'établissent pas clairement la relation avec leurs sous-traitants ultérieurs, c'est le sous-traitant initial qui sera responsable! Vous devez donc vous assurer de respecter toutes les obligations du RGPD afin de protéger votre position.
Et les négociations des CTD ?
Les obligations susmentionnées du RGPD ne laissent pas beaucoup de place à la négociation lors de l'élaboration d'un contrat de traitement des données. Par conséquent, afin de protéger le responsable du traitement, le sous-traitant et tout autre sous-traitant ultérieur, il est important de bien connaître le RGPD et de vous assurer que vos contrats reflètent bien ces exigences.
Les registres des activités de traitement
La tenue d'un registre détaillé de toutes les activités de traitement vous permet de garder un œil sur la façon dont vos données personnelles sont traitées.
Certes, selon le RGPD la tenue de registres de traitement des données n'est pas obligatoire pour les entreprises de moins de 250 employés, mais nous considérons que la tenue de registres offre un plus grand contrôle sur toutes les activités de traitement des données et vous aide à éviter toute confusion.
Pour les sous-traitants, il est essentiel de conserver des registres et des preuves des activités de traitement, surtout si l'un de leurs sous-traitants ultérieurs ne respecte pas les dispositions du RGPD. Dans ces cas, les sous-traitants doivent s'assurer qu'ils disposent d’une preuve suffisante pour se protéger et soutenir leur position ainsi que pour retenir la responsabilité de tout sous-traitant ultérieur non conforme !
Qu’en est-il des responsables de traitement multiples et des activité de responsable de traitement à responsable de traitement ?
En cas d’activités de traitement de données entre plusieurs sous-traitants ou entre deux responsables de traitement distinct, il est courant qu'il y ait une base de données partagée pendant les activités de traitement des données ou qu’il y ait un transfert de données personnelles.
Bien qu'un contrat de traitement de données entre les sous-traitants ou entre deux responsables du traitement distinct ne semble pas nécessaire (et n'est pas spécifiquement requis sous le RGPD), afin d'assurer la sécurité juridique (comme avec n'importe quelle autre relation contractuelle), le bon sens prime – il est toujours préférable d’avoir une entente en place afin de prévoir les droits et obligations de chaque partie.
En cas de doute sur le contenu d'un contrat de traitement de données ou sur vos responsabilités en tant que responsable de traitement ou sous-traitants, il est toujours favorable de consulter un avocat spécialisé.
N'oubliez pas que le RGPD est un texte législatif complexe qui peut avoir des conséquences importantes!
Si vous avez des questions spécifiques concernant vos activités de traitement ou vos contrats sous le RGPD, n'hésitez pas à nous contacter.
Article rédigé par Justin Boileau @ Gerrish Legal, juin 2019.