Sous-Traitant Obligations

Sécurité

RGPD et sous-traitant : quelles obligations

Céline Petit Juriste et fondatrice de DNA Publié il y a 2 ans
RGPD et sous-traitant : quelles obligations ?
Obligations

Sécurité

RGPD et sous-traitant : quelles obligations

Céline Petit Juriste et fondatrice de DNA Publié il y a 2 ans

Les points principaux

Définition Sécurité Confidentialité
RGPD et sous-traitant : quelles obligations ?

RGPD et sous-traitant : quelles obligations ?

Selon l’article 28 du RGPD, le sous-traitant doit offrir à son client « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». Qu’est-ce que cela signifie et quelles sont les obligations du sous-traitant dans le RGPD ? Voici tout ce qu’il faut savoir sur le sujet.

Qu’est-ce qu’un sous-traitant selon le RGPD ?

Il ne faut pas confondre sous-traitant et responsable de traitement des données. La distinction n’est pas toujours évidente.Le sous-traitant peut-être une personne physique ou morale (entreprise ou organisme public) traite des données pour le compte et sur les instructions et sous l’autorité du responsable de traitement des données, dans le cadre d’un service ou d’une prestation. Le responsable de traitement lui confie alors certaines tâches et doit s’assurer que le sous-traitant garantit un niveau de sécurité technique et organisationnel conforme au RGPD. Attention ! Le responsable du traitement des données doit contrôler les actions de son sous-traitant et s’assurer que celui-ci présente des garanties suffisantes en matière de sécurité. À défaut, il pourra voir sa propre responsabilité engagée du fait de sa négligence.

Une obligation de sécurité et de confidentialité

La responsabilité du sous-traitant en matière de sécurité

Une obligation de sécurité et de confidentialité pèse sur le sous-traitant. Ce dernier pourra notamment voir sa responsabilité engagée en cas de négligence manifeste (comme une faille de sécurité ou encore une perte de confidentialité). Selon le RGPD, le sous-traitant doit s’assurer que toutes les données traitées par ses clients sont soumises à une obligation de confidentialité. Il doit également adapter le niveau de sécurité aux risques encourus et notifier toutes les violations de données observées.

L’obligation de sécurité et de confidentialité du sous-traitant

L’obligation de sécurité implique que les garanties nécessaires au traitement des données mises en place par le sous-traitant respectent non seulement les exigences du RGPD, mais protègent également les personnes concernées. Les outils, applications ou services proposés par le sous-traitant doivent intégrer ces deux aspects dès leur conception.

Une obligation de transparence et de traçabilité

En tant que sous-traitant vous avez une obligation de transparence et de traçabilité envers votre client. Pour ce faire, vous devez établir un contrat qui précisera chacune des obligations des parties. Ce dernier reprendra les dispositions prévues à l’article 28 du RGPD et recensera par écrit les différentes instructions de votre client concernant le traitement de ses données. Ce document est un moyen de preuve pour le sous-traitant qui agit sur instruction du responsable de traitement. Bon à savoir si vous êtes un sous-traitant et que vous désirez vous-même faire appel à un autre sous-traitant, un accord écrit de votre client sera nécessaire.

Une obligation d’assistance et de conseil

Le sous-traitant accompagne, guide et conseille son client dans sa prise de décision. Si une personne désire par exemple exercer ses droits (s’opposer à un traitement de ses données, effacer ses données ou les modifier par exemple), le sous-traitant assiste son client pour accéder à la demande et y donner suite. Le sous-traitant doit donc lui-même garantir le respect des obligations visées par l’article 28 du RGPD en matière de sécurité, de confidentialité, de conseil, de conformité, de transparence et de traçabilité.Vous désirez en savoir plus sur la conformité de votre entreprise au RGPD ? Bénéficiez d’un diagnostic avec Data Need Advice et assurez un suivi dans la protection et le traitement de vos données personnelles. Pour en savoir plus ? Contactez-nous.

Plus de publications

interview Adequacy
Société

Interview Céline Petit - Data need Advice par Adequacy

Lire
télémédecine digitalisation
Santé

COVID-19 et télémédecine

Lire
santé Technologie
Technologie

Santé connectée : entrave à la protection de vos données de santé ?

Lire
Voir d'autres publications
Nous utilisons
des cookies.

Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus). Certains sont techniquement nécessaires, les autres sont utiles au bon fonctionnement de notre site ("statistiques").

En savoir plus

Ce site web,
comme la plupart,
utilise des cookies.

Vous pouvez les accepter ou vous y opposer, à vous de voir. Mais laissez-nous vous expliquer le pourquoi du comment, afin d'éclairer votre choix :

Sur internet, la collecte et le traitement des données sont omniprésents, et peuvent résulter d'une simple navigation sur un site web.....grâce à ces petites choses que l'on appelle les "Cookies". Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus), permettant de conserver des données relatives à votre navigation.
Comme notre site n'échappe pas à la règle, nous utilisons des Cookies.
Certains sont techniquements nécessaires. D'autres sont des outils pour analyser notre trafic (en prenant soin de ne pas vous identifier), utiles au bon fonctionnement de notre site et à sa sécurité. Vous pouvez accepter ou vous opposer à leur dépôt.

Les cookies nécessaires

Les cookies nécessaires contribuent à rendre un site Web utilisable en activant des fonctions de base comme la navigation de page et l'accès aux zones sécurisées du site Web. Le site Web ne peut pas fonctionner correctement sans ces cookies. C'est la raison pour laquelle votre consentement n'est pas requis.

Nom Fournisseur Expiration Type
dna_consent DNA 13 mois HTML
Stocke l'autorisation d'utilisation de cookies pour le domaine actuel par l'utilisateur.
dna_type DNA 10 minutes HTML
Ce cookie est utilisé pour distinguer les humains des robots.
dna_contact DNA 10 minutes JSON
Ce cookie est utilisé pour préremplir le formulaire de la page contact en fonction des actions de l'utilisateur.
SERVERID OVH Session HTML
Un cookie technique utilisé par notre hébergeur pour faire de la répartition de charge serveur.

Les cookies comme outils pour nos statistiques

Ces traceurs de mesure d'audience ont pour seul but l'élaboration de statistiques de fréquentation et de performance dans un souci de bon fonctionnement et d'amélioration de notre Site. Nous sommes les seuls à les utiliser, ils ne nous permettent pas un suivi global de votre navigation, et les statistiques émises sont strictement anonymes (réalisées par le biais de Matomo). Votre consentement n'est pas requis, mais vous pouvez vous opposer à leur utilisation en décochant la case correspondante. Cette opposition n'aura aucune incidence technique sur votre navigation.

Nom Fournisseur Expiration Type
_pk.id DNA - MATOMO 13 mois html
Utilisé pour stocker quelques détails à propos de l'utilisateur tel que son identifiant unique.
_pk.ses DNA - MATOMO 30 minutes HTML
Cookie à courte vie utilisé pour stocker temporaire des données sur la visite.
mtm_cookie_consent DNA - MATOMO 12 mois HTML
Est créé pour se souvenir du consementement de l'utilisateur pour stocker et utiliser des cookies statistiques.