Règlement européen sur la protection des données personnelles : tous les contrats de sous-traitance doivent être modifiés avant le 25 mai 2018

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Guide du sous-traitant (Edition Sept. 2017 – CNIL)

La CNIL a édité un guide pratique à destination des sous-traitants en septembre dernier afin de les accompagner dans la mise en œuvre des nouvelles obligations imposées par le règlement européen en matière de protection des données personnelles (le « Règlement »).

Ce qu’il faut retenir : La CNIL a édité un guide pratique à destination des sous-traitants en septembre dernier afin de les accompagner dans la mise en œuvre des nouvelles obligations imposées par le règlement européen en matière de protection des données personnelles (le « Règlement »). L’occasion pour la Commission de rappeler la nécessité de revoir l’ensemble des contrats conclus entre responsables et sous-traitants avant l’entrée en vigueur du Règlement.

Pour approfondir :

1) Qui est « Sous-traitant » ?

Est qualifié de sous-traitant – au sens du Règlement – toute personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement qui détermine les finalités et les moyens d’un traitement.

Ainsi, dès lors qu’une partie réalise une quelconque opération de traitement portant sur des données à caractère personnel telle que la saisie de ces données, leur hébergement, classement ou encore leur communication pour le compte et sur instruction de son donneur d’ordre, elle sera qualifiée de sous-traitant.

2) Quelles sont les nouvelles obligations ?

A l’aune de la loi Informatique et Libertés, les obligations des sous-traitants restent limitées dans la mesure où l’ensemble des obligations de la loi ne s’impose qu’aux responsables de traitement.

Ces derniers ont notamment l’obligation de conclure un contrat avec leurs sous-traitants afin de les obliger à assurer la sécurité et la confidentialité des données et prévoir leur intervention dans le strict périmètre des instructions qu’ils reçoivent. Toutefois, ils ne sont jamais déchargés de leurs obligations et restent responsables des manquements à l’obligation de sécurité même en cas de défaillance de leur sous-traitant.

Le Règlement, qui entrera en vigueur le 25 mai 2018, consacre désormais la responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles et particulièrement la responsabilité directe et spécifique des sous-traitants.

Ainsi, les sous-traitants ont désormais l’obligation :

  • de présenter « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen) ;
  • d’assister et de conseiller le responsable de traitement pour répondre à ses obligations prévues par le Règlement, notamment en matière de poursuite d’analyses d’impact, de notification de violation ou encore de réalisation d’audits ;
  • d’assister, d’alerter et de conseiller le responsable de traitement si une instruction constitue une violation des règles en matière de protection des données.

3) Que faut-il donc faire ?

Dans son nouveau guide, la CNIL conseille avant tout de vérifier si la désignation d’un délégué à la protection des données est requise.

En effet, celui-ci étant chargé de piloter la conformité au Règlement, sa désignation permettra de définir les différents chantiers de mise en conformité à mettre en œuvre.

Dans un second temps, responsables de traitement et sous-traitants doivent analyser et réviser leurs contrats.

S’il n’existait jusqu’alors aucun formalisme, les contrats entre responsables et sous-traitants doivent désormais définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

En outre, ces contrats doivent nécessairement contenir des mentions obligatoires relatives aux caractéristiques du traitement et aux obligations du sous-traitant.

En conséquence, au jour de l’entrée en vigueur du Règlement, tous les contrats de sous-traitance en cours d’exécution vont devoir comprendre l’ensemble de ces mentions obligatoires et prévoir une nouvelle répartition des rôles et des responsabilités entre les acteurs du traitement.

Tout manquement à ce formalisme est passible de sanctions pécuniaires à l’encontre des responsables de traitement et des sous-traitants, pouvant atteindre 10 000 000 euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Il est donc vivement recommandé à tous les acteurs d’un traitement d’anticiper ces nouvelles obligations en intégrant dès à présent, par voie d’avenant, les clauses obligatoires en prévoyant qu’elles ne seront opposables qu’à compter du 25 mai 2018.

A rapprocher : Articles 28 et 83 du Règlement (UE) 2016/679 Du Parlement Européen et du Conseil du 27 avril 2016

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…