La plupart des entreprises ont des sous-traitants, sans même en avoir conscience. Pourtant, cela déclenche des obligations selon le RGPD. Mais pas de panique : on vous aide à y voir plus clair dans cet article ! Découvrez comment organiser votre conformité concernant vos sous-traitants.

C’est quoi un sous-traitant ? 

Un sous-traitant, c’est tout type de prestataire ou de logiciel qui gère des données pour votre compte, quel que soit le type d’opération : collecte, consultation, extraction, utilisation, organisation, etc.

Souvent, les activités de comptabilité, de gestion RH, de maintenance informatique, de marketing et de communication sont déléguées à des prestataires extérieurs, qui sont donc de ce fait des sous-traitants au sens du RGPD. 

Mais les logiciels de gestion (type CRM, Cloud, Saas, espace de travail en ligne, messagerie…) sont également des sous-traitants. Ils opèrent de multiples façons sur les données qui leur sont confiées.

Quel rapport entre le RGPD et mon sous-traitant ? 

Les sous-traitants sont très presque obligatoirement amenés à gérer des données personnelles (ne serait-ce que les vôtres personnellement pour vous contacter !). 

La définition de donnée personnelle est très vaste. Toute donnée qui permet d’identifier quelqu’un est une donnée personnelle. Et votre sous-traitant (même en B2B)  accède assurément à certaines des données personnelles que vous utilisez.

Si c’est votre gestionnaire RH, il a les noms, prénoms, fonctions, numéro de sécurité sociale, RIB…. de vos collaborateurs. 

Si c’est un outil de travail en ligne ou un cloud, des données telles que les adresses mails sont nécessairement conservées et utilisées sur la plateforme. 

Ainsi, votre sous-traitant est fréquemment à traiter de données personnelles dont la responsabilité vous incombe. Et cela vous oblige à respecter certaines conditions, selon le RGPD. 

Quelles sont mes obligations quand je choisis mon sous-traitant ? 

Considérant que votre sous-traitant traite de données pour VOTRE compte, et qu’il s’agit donc de données dont vous avez la responsabilité de protéger conformément au RGPD, vous avez plusieurs obligations vous incombant lors du choix de votre sous-traitant. 

Voici la liste des conditions que vous devez nécessairement retrouver chez votre sous-traitant : 

• Votre sous-traitant doit être fiable : Ne confiez pas vos données au premier venu, sans aucune vérification préalable ! Surtout si des données sensibles sont concernées. Vérifiez au préalable toute certification, ou toute spécialisation. Vous êtes en droit, lors du choix de votre sous-traitant, de demander l’accès à une politique de sécurité ou de confidentialité. 

• Établissez un contrat : le RGPD ne laisse aucun doute sur le sujet. Vous avez l’obligation de vous assurer de la conformité de votre sous-traitant au RGPD et pour ce faire, des clauses contractuelles type doivent être établies et doivent être signées par le sous-traitant et le responsable de traitement (vous). 

La CNIL et la Commission Européenne mettent à disposition sur leurs sites des modèles de clauses à adapter en fonction de la situation de chaque entreprise. Voici les liens : https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses

Ce contrat doit comporter plusieurs clauses et mentions obligatoires, telles que : 

• Objet, durée et finalité du traitement
• Les données personnelles et les catégories de personnes concernées 
• Obligation des parties (ne traiter que les données instruites pour les finalités indiquées conformément aux instructions données, et autres obligations de confidentialité et de sécurité)
• Les modalités concernant le droit d’information des personnes concernées et l’exercice des droits des personnes
• Les règles de gestion et notification des incidents 

💡 Pour la plupart des logiciels, il existe des DPA (Data Privacy Agreement ou Addendum) qui font office de contrat de sous-traitance. Téléchargez les, signez-les et documentez-les : c’est une obligation du RGPD ! 

Attention ! Lors d’un contrôle de la CNIL, les contrats de sous-traitance sont fréquemment contrôlés ! Ce fut le cas pour Pap.fr, société spécialisée dans l’immobilier, qui en plus d’autres manquements au RGPD reprochés, n’avait pas mis en place de contrats de sous-traitance conformes ! Pour en savoir plus,  consultez notre article sur le sujet : Sécurité des données et conservation : sanction de 100 000 euros à l’encontre de PAP.fr.

Et la CNIL en fait même la recommandation expresse : ne pas commencer de prestation de sous-traitance sans qu’elle soit encadrée par un contrat ! 

• Mettez en place des moyens de vérification de la sécurité et des engagements de votre sous-traitant : En tant que responsable de traitement, vous avez le droit de demander la réalisation d’audits ou de visite des installations. C’est surtout vrai en matière de données sensibles.

Notre conseil : entourez-vous de professionnels 

La mise en place des différentes obligations entre responsable du traitement et sous-traitant n’est pas simple. C’est d’autant plus vrai que vous aurez souvent les deux rôles : responsable du traitement pour votre activité principale et sous-traitant pour d’autres activités.

➡️ Le meilleur exemple est l’expert-comptable qui est sous-traitant de tous ses clients mais également responsable du traitement ne serait-ce que pour ses propres salariés.

Quant à la rédaction des clauses contractuelles et autres DPA, les difficultés sont multiples et les risques trop importants pour être ignorés :  vous aurez certainement besoin d’un professionnel du RGPD qui vous aidera à naviguer à travers les exigences du RGPD et à vérifier que vos  sous-traitants répondent à vos besoins spécifiques tout en respectant les normes de protection des données. 

Ne prenez pas de risques inutiles avec vos données – faites confiance à un véritable expert pour vous guider dans ce processus.

.