Le Règlement Général sur la Protection des Données (RGPD) a mis en place des obligations bien ciblées pour les sous-traitants. En cas de non-respect, la CNIL peut infliger de lourdes sanctions.
Votre entreprise passe par un éventuel sous-traitant dans le cadre du traitement des données qu’elle collecte (ce qui inclut la mise en place de règles relatives à la protection des informations personnelles, la destruction de documents, etc.) ? Sachez que celui qui travaille sous les ordres du responsable de traitement que vous avez désigné a lui aussi certaines obligations spécifiques à respecter. Voyons lesquelles ci-dessous.
Quand le sous-traitant est-il soumis au RGPD ?
Tandis que le sous-traitant ne détermine ni les finalités du traitement des données (les raisons de leur collecte) ni les moyens dudit traitement (les procédés utilisés pour atteindre l’objectif fixé), ce dernier, s’il est établi sur le territoire de l’Union Européenne, est quoi qu’il arrive soumis au RGPD. Il en va de même si vos activités concernent tout ou partie des résidents de l’UE.
Malgré tout, rappelons que le Règlement Européen sur la Protection des Données ne s’adresse qu’aux organismes qui traitent des données personnelles. De cette manière, un prestataire ou sous-traitant qui n’a accès à aucune donnée de cet ordre n’est pas concerné par le RGPD.
Les obligations spécifiques du sous-traitant soumis au RGPD
Tout sous-traitant soumis au RGPD a des exigences à respecter en termes de protection des données personnelles. En effet, ce dernier a des obligations en matière de transparence, de traçabilité, de respect des droits des personnes, etc.
Nos services de destruction régulière sont là pour vous !
Ainsi, parmi les obligations en vigueur, le sous-traitant RGPD est tenu de nommer un délégué à la protection des données (DPO) dans le cas d’un traitement récurrent ou bien à grande échelle. En outre, la relation entre le sous-traitant et le DPO doit être formalisée par le biais d’un contrat de sous-traitance, lequel doit contenir les mentions obligatoires en vigueur. Enfin, le sous-traitant a l’obligation de tenir un registre de traitement si plus de 250 employés répondent à ses ordres, s’il met régulièrement en place des traitements qui présentent un risque important pour les droits et libertés des personnes, ou si le traitement porte sur des données sensibles, entre autres choses.
Et si le sous-traitant a lui-même recours à un sous-traitant ?
Dans le cas où le sous-traitant désigné sollicite les services d’un autre sous-traitant, alors ce dernier doit respecter les mêmes obligations que celles préalablement fixées dans le contrat de prestation entre le client et le sous-traitant d’origine. Ainsi, le sous-traitant initial s’expose à des sanctions si le sous-traitant qu’il a choisi ne respecte pas les exigences du RGPD.
Lire aussi :