RGPD : la CNIL publie un guide pour accompagner les sous-traitants

Publié le 06/11/2017

La CNIL a annoncé la publication d'un guide pour accompagner les sous-traitants dans la mise en œuvre concrète de leurs obligations lors du traitement de données personnelles. 

Applicable à compter du 25 mai 2018, le règlement européen pour la protection des données personnelles (RGPD) impose des obligations spécifiques aux sous-traitants dont la responsabilité sera susceptible d'être engagée en cas de manquement. Ces obligations concernent tous les organismes qui traitent des données personnelles pour le compte d'un autre organisme, dans le cadre d'un service ou d'une prestation. 

Sont notamment concernés :

  • les prestataires de services informatiques (hébergement, maintenance, ...) ; 
  • les intégrateurs de logiciels ; 
  • les sociétés de sécurité informatique ; 
  • les entreprises de service du numérique ou anciennement sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données ;  
  • les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients.  

Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent prendre en compte la protection des données dès la conception du service ou du produit et par défaut et mettre en place des mesures permettant de garantir une protection optimale des données.
Ils ont notamment une obligation de conseil auprès des clients pour le compte desquels ils traitent des données. Ils doivent les aider dans la mise en œuvre de certaines obligations du règlement (étude d'impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits). 
Ils devront également tenir un registre des activités de traitement effectuées pour le compte de leurs clients. Enfin, dans certains cas, ils devront désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu'un responsable de traitement.

Présenté sous forme de questions-réponses, le guide propose un exemple de clauses de sous-traitance à adapter et à préciser selon la prestation de sous-traitance concernée.

Référence :