Sous-traitant

Qu’est-ce qu’un sous-traitant ?

Est considéré comme sous-traitant toute personne physique ou morale traitant des données à caractère personnel pour le compte et sous l’autorité d’un responsable de traitement.
Lorsqu’une entreprise gère, conserve, traite la totalité ou une partie de certaines données personnelles pour le compte d’un autre organisme, elle est donc considérée comme étant un sous-traitant. 

Comment faire la différence entre un sous-traitant et un prestataire ?

Pour faire la distinction entre un sous-traitant et un prestataire, vous pouvez poser les questions suivantes :

• Niveau d’autonomie du prestataire dans la réalisation du traitement. Est-il libre dans la manière dont il traite les données personnelles ? Ou suit-il les instructions de la collectivité ?
• La surveillance exercée par la collectivité. Est-ce qu’on est en mesure de surveiller la manière dont il traite les données personnelles, et de contrôler sa conformité aux instructions données ?
• Est-ce qu'on définit de manière quelconque la façon dont les traitements sont faits, ou souscrit-on une prestation prédéfinie sur laquelle on a aucune influence ?

Donc, si le service réalisé par la société est influencé par les instructions de la collectivité, on peut dire qu'elle est un sous-traitant, mais si au contraire la société réalise le service de façon autonome et ne suit pas les instructions, dans ce cas la société est considérée comme un prestataire.

Le Trésor Public, l'INSEE, sont-ils des sous-traitants ? Comment identifier un sous-traitant ?

Il est important de noter que le sous-traitant réalise des traitements pour le compte du responsable du traitement.
Pour qualifier un prestataire de sous-traitant, il faut notamment que celui-ci suive les instructions du responsable du traitement et ce, avec une marge d’autonomie limitée.
En l’occurrence, L’INSEE réalise ses fonctions sans suivre aucune instruction des mairies et en poursuivant ses propres finalités. De ce fait L’INSEE n’est pas un sous-traitant des mairies.

La banque ou la compagnie d’assurances sont-elles mes sous-traitants ?

Normalement la banque et la compagnie d’assurances définissent de façon autonome quelles sont leurs prestations (exemple : un compte courant, une assurance véhicule) et la collectivité ne fait qu’adhérer à leur offre. Dans ce cas, il faut considérer qu’il s’agit d’un prestataire et pas d’un sous-traitant.
Mais si la banque ou la compagnie d’assurances réalisent des traitements pour le compte de la collectivité et en suivant ses instructions, dans ce cas elles peuvent être considérées comme étant des sous-traitants.
Par exemple : la mise en place avec la banque d’un système de paiement en ligne ayant des contraintes de traitement et de sécurité particulières que la collectivité a spécifiées.

Quelles sont les obligations des sous-traitants ?

Le RGPD exige que la relation de la collectivité avec les sous-traitants soit encadrée strictement. Le document qui régit cette relation (contrat, annexe, avenant, ...) doit contenir :

1. Des informations sur chaque traitement que le responsable confie au sous-traitant : finalité, nature, type de données collectées, catégories de personnes concernées et durée du traitement.
2. Les obligations du responsable et celles du sous-traitant, en particulier en ce qui concerne l’exercice de droits, la sécurité et la notification de violation de données à caractère personnel.

Vous avez à votre disposition un modèle d’avenant sur les ressources de Super Chef : https://rgpd-registre.e-bourgogne.fr/ressources
Pour plus de précisions veuillez-vous référer à l’Art 28

Le sous-traitant a-t-il le droit de transférer des données en dehors de l’Union Européenne ?

Oui sous certaines conditions. Le RGPD encadre strictement les transferts de données à caractère personnel de résidents européens vers des destinations situées en dehors de l’Espace économique européen. Dans certains cas, vous devez mettre en place un mécanisme juridique spécifique, tel qu’un contrat, ou adhérer à un mécanisme de certification afin de permettre ces transferts.

• Le pays de destination (hors UE) a fait l’objet d’une décision d’adéquation
• Le transfert fait l’objet de garanties appropriées pour la protection des données personnelles

Que doit prévoir le contrat de sous-traitance ?

Le contrat doit prévoir que le sous-traitant :

• Traite les données personnelles seulement sur instructions documentées du responsable de traitement et uniquement pour la finalité qui fait l’objet de la sous-traitance ;
• Veille à ce que les opérationnels traitant les données personnelles soient tenus à la confidentialité (les modalités dépendent de la sensibilité des données, à préciser en annexe au contrat),
• Assure la sécurité du traitement ;
• Respecte les conditions pour recourir à son tour à la sous-traitance ;
• Répercute à tout nouveau sous-traitant éventuel les obligations prises avec le responsable de traitement ;
• Aide le responsable de traitement par des mesures techniques et organisationnelles, à exécuter ses obligations à l’égard des personnes qui font l’objet de traitements,
• Aide le responsable de traitement à garantir le respect des obligations concernant la sécurité des données personnelles, la réalisation d’analyse d’impact et la consultation préalable de la CNIL,
• Selon le choix du responsable de traitement, supprime toutes les données personnelles ou les lui renvoie au terme de la prestation, et détruit les copies des traitements de données existantes (à préciser en annexe au contrat),
• Met à la disposition du responsable de traitement toutes les informations documentant le respect de ces obligations vis-à-vis du RGPD.

Rendez-vous sur la page “Ressources” de l’outil, pour voir un modèle de contrat de sous traitant : https://rgpd-registre.ternum-bfc.fr/ressources