RGPD : Vos contrats de traitement des données sont-ils conformes ? 

Le Règlement Général sur la Protection des Données, mieux connu sous son acronyme RGPD, est entré en vigueur depuis presque 2 ans….

Néanmoins, nous avons constaté qu’il reste encore quelques questions en suspens – telle que celle des obligations des responsables de traitement, des sous-traitants et de sous-traitants ultérieurs au sein des contrats de traitement des données. Nous faisons le point sur ces questions, obligations et responsabilités afin de faciliter vos relations contractuelles en matière de protection des données personnelles.

Les obligations essentielles du sous-traitant

Les obligations essentielles de tout sous-traitant de données personnelles sont d”écrites à l’article 28 du RGPD. Conformément à cette législation européenne, désormais concrétisée en droit français, et aux activités professionnelles ordinaires, les sous-traitants disposent d’un rôle clé s’agissant des activités de traitement des données à caractère personnel. Actuellement, plusieurs entreprises ont recours à des sous-traitants. Il n’est d’ailleurs pas surprenant qu’il existe une obligation de transparence à l’égard de ceux qui traitent les données, puisque dans certaines conditions ils peuvent être conjointement responsables du traitement des données, avec le responsable de traitement (cf. l’article 26 du RGPD).

Lorsqu’un responsable de traitement fait appel à des sous-traitants, il est nécessaire que ceux-ci présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, afin de s’assurer que les obligations en matière de protection des données soient remplies conformément aux exigences du RGPD.

Pourquoi est-ce important ? 

Parce que, chaque responsable de traitement doit s’assurer de la conformité du traitement de leurs données, spécialement au regard de la sécurité et de la confidentialité des ces activités de traitement ! Lorsqu’il est fait recours à un sous-traitant, il est primordial de s’assurer que ces opérations de traitement soient réalisées en toute sécurité, tout en respectant les règles de conformité, et que le sous-traitant comprenne ses obligations. 

Par conséquent, en vertu du RGPD, le sous-traitant a une obligation de fournir une certaine quantité d’informations au responsable de traitement, ainsi que des obligations spécifiques à respecter de manière à ce que le responsable de traitement puisse s’assurer que les garanties mises en place par le sous-traitant soient suffisantes. 

Le contrat de traitement des données (ou CTD) 

Tout contrat (ou tout autre accord en vertu du droit de l’UE ou du droit d’un pays membre de l’UE) qui lie un responsable de traitement à un sous-traitant doit contenir des clauses contractuelles essentielles, en partant des clauses générales aux plus spécifiques. 

Ce contrat, plus connu sous le nom de « contrat de traitement des données », ou « CTD », est essentiel pour s’assurer du respect du RGPD !

Premièrement, un sous-traitant ne peut agir que selon les instructions claires du responsable de traitement. En outre, un sous-traitant doit respecter la confidentialité des données personnelles traitées, mais également prendre toutes les mesures nécessaires requises à l’article 32 du RGPD concernant la pseudonymisation et le chiffrement de ces données.  

Le droit à l’information ! 

Si un responsable de traitement viol le RGPD, le sous-traitant doit en informer le responsable de traitement immédiatement ! Des garanties doivent être prévues dans le CTD. 

La sous-traitance ultérieure ? 

Des obligations surviennent également lorsqu’un sous-traitant fait appel à un cotraitant ou un autre sous-traitant. Un contrat est nécessaire à l’établissement des obligations requises par l’article 28 du RGPD, telle que les fameuses garanties relatives à la mise en place de mesures techniques et organisationnelles appropriées. 

Attention – si les sous-traitants ne déterminent pas clairement leur relation avec leurs propres sous-traitants, alors c’est le sous-traitant initial qui sera responsable ! Par conséquent, vous devez faire très attention et vous assurer de votre conformité avec toutes les obligations du RGPD afin de vous protéger. 

Quid des négociations du CTD ?  

Les obligations précitées du RGPD ne laissent pas beaucoup de place aux négociations lors de l’élaboration d’un contrat de traitement des données. De plus, afin de protéger le responsable de traitement, le sous-traitant et tout autre sous-traitant, il est important de se familiariser avec le RGPD pour s’assurer que le contrat respecte scrupuleusement ses exigences. 

Les registres des activités de traitement 

Tenir des registres rigoureux de toutes les activités de traitement permet de garder un œil sur la manière dont les données personnelles sont traitées. Il est vrai que, selon le RGPD, la tenue d’un registre des activités de traitement n’est pas obligatoire pour les entreprises de moins de 250 employés, cependant la conservation d’un tel registre permet d’avoir un réel contrôle sur toutes les opérations de traitement des données et aide à éviter tout désagrément ou confusion.  

Pour les sous-traitants, tenir des registres et la preuve des opérations de traitement des données est primordial, notamment si l’un de ses sous-traitants viole le RGPD, les sous-traitants veulent s’assurer d’avoir des preuves afin de se protéger et de pouvoir tenir pour responsable tout sous-traitant contrevenant.  

Quid en cas de multiplicité des sous-traitants et de co-responsabilité de traitement ? 

Lorsque des opérations de traitement des données sont traitées par plusieurs sous-traitants ou deux responsables de traitement distincts, il est courant, dans ce cas, de recourir à une base de données partagée ou à un transfert des données personnelles. Bien qu’un contrat de traitement de données entre sous-traitants ou entre deux responsables de traitement distincts, n’apparait pas nécessaire (et ce n’est pas spécialement exigé par le RGPD), pour garantir la sécurité juridique (seulement avec toute autre relation contractuelle) le bon sens prévaut – il est toujours préférable de définir les termes du contrat afin que les droits et obligations de chacune des parties soient clairs. 

Si vous avez le moindre doute relativement au contenu d’un contrat de traitement de données ou concernant les responsabilités du responsable de traitement ou du sous-traitant, il est toujours intéressant de consulter un avocat spécialisé. Souvenez-vous, le RGPD est un acte législatif majeur pouvant avoir des conséquences significatives !

Si vous avez des questions spécifiques relatives à vos opérations de traitement de données personnelles ou vos contrats en lien avec le RGPD, n’hésitez pas à nous contactez.  

Article rédigé par Anaïs Crémas @ Gerrish Legal, mars 2020 / Photo de couverture : timothy muza sur Unsplash

Previous
Previous

PARTIE 1 : E-commerce - Vos Contrats, Force Majeure et Covid-19

Next
Next

RGPD : Point sur le traitement des données biométriques