01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

#RGPD : prestataires e-marketing et informatiques : préparez-vous !

RGPD prestataire haas avocats

Les fournisseurs de solutions marketing et logicielles et prestataires informatiques doivent se préparer à l’entrée en application du règlement européen sur la protection des données (RGPD) le 25 mai 2018.

La CNIL vient de le rappeler en éditant un Guide du sous-traitant accessible ici.

Le sous-traitant au sens de la réglementation en matière de protection des données à caractère personnel s’entend de tout prestataire qui traite des données à caractère personnel pour le compte de tiers (responsables de traitement), uniquement sur instruction et sous l’autorité dudit tiers.

Les fournisseurs de services ou de solutions dans les domaines informatique et e-marketing ont très souvent cette qualité lorsqu’ils interviennent pour le compte de clients (maintenance informatique, hébergement de bases de données, gestion de campagnes d’emailing, maintenance informatique, sécurité informatique,…)

Or, un des changements majeurs opéré par le RGPD est de responsabiliser les sous-traitants, en leur imposant de nouvelles obligations dont la violation peut conduire à des lourdes sanctions (jusqu’à 10 ou 20 millions d’euros ou jusqu’à 2% ou 4% du chiffre d’affaires annuel mondial) outre la réparation du préjudice subi par les personnes concernées et d’autres sanctions pénales et administratives.

1/ Une nécessaire contractualisation

La relation responsable de traitement / sous-traitant doit être encadrée contractuellement pour fixer les obligations de chacun, conformément aux dispositions de l’article 28 du RGPD.

La CNIL fournit à ce titre un exemple de clauses contractuelles de sous-traitance dans son Guide du sous-traitant accessible à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf.

Ce contrat doit notamment préciser les instructions du responsable de traitement et recueillir le cas échéant son autorisation lorsque le sous-traitant fait lui-même appel à d’autres sous-traitants pour intervenir dans la mise en œuvre du traitement de données à caractère personnel qu’il effectue pour le compte du responsable de traitement.

Si le recours à un sous-traitant ou à d’autres sous-traitants est envisagé après la signature du contrat, le sous-traitant devra obtenir l’autorisation écrite du responsable de traitement et informer ce dernier de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants, pour lui permettre d’émettre des objections et/ou de s’y opposer. Le sous-traitant sera responsable de ses propres sous-traitants vis-à-vis du responsable de traitements et devra s’assurer qu’ils offrent le même niveau de garantie que lui, eu égard à la sécurité et à la confidentialité des données auxquelles il accède.

2/ La tenue d’un registre d’activités

A l’instar du responsable de traitement, le sous-traitant doit tenir un registre des catégories d’activités de traitement qu’il effectue pour le compte de ses clients.

Ce registre doit comporter :

  • le nom et les coordonnées de chaque client pour le compte duquel des données sont traitées
  • le nom et les coordonnées de chaque sous-traitant ultérieur (s’il y en a)
  • le nom et les coordonnées du DPO (s’il y en a un)
  • les catégories de traitements effectués pour le compte de chaque client
  • les transferts de données hors UE effectués pour le compte de chaque client (s’ils existent)
  • une description générale des mesures de sécurité techniques et organisationnelles mises en place.

3/ La désignation d’un DPO obligatoire dans certains cas

Le sous-traitant doit obligatoirement désigner un délégué à la protection des données (DPO) dans trois (3) hypothèses :

  • Lorsqu’il est une autorité ou un organisme public
  • Lorsque ses activités le conduisent à réaliser un suivi régulier et systématique de personnes à grande échelle pour le compte de ses clients
  • Lorsque ses activités le conduisent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations et infractions pour le compte de ses clients.

4/ Des mesures organisationnelles et techniques garantissant la sécurité et la confidentialité des données traitées pour le compte du responsable de traitement

En effet, le sous-traitant qui intervient dans la mise en œuvre d’un traitement de données personnelles doit offrir « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 RGPD).

Cela implique notamment :

  • D’intégrer les principes relatifs à la protection des données dans les outils logiciels, applications et services que vous utilisez ou mettez à disposition de vos clients pour gérer leurs données ; et ce, dès leur conception.

 

  • De garantir que les outils logiciels, applications et services que vous utilisez ou mettez à disposition de vos clients traitent uniquement les données strictement nécessaires à la finalité du traitement (minimisation des données), avec une possibilité donnée aux clients de paramétrer les outils par défaut pour ne collecter que le strict minimum des données nécessaires au traitement, avec une durée de conservation limitée à ce qui est strictement nécessaire par rapport à cette finalité et un accès restreint aux seules personnes habilitées à traiter lesdites données.

Au-delà de ces mesures, le sous-traitant doit prendre les mesures techniques et organisationnelles que le responsable de traitement (référentiel sécurité, clauses de confidentialité de son personnel, sensibilisation et formation de son personnel…).

5/ Une obligation d’assistance et de conseil vis-à-vis du responsable de traitement.

Le sous-traitant doit assister et conseiller le responsable de traitement dans sa propre conformité au RGPD (aider le responsable de traitement dans la réalisation de ses études d’impact eu égard aux traitements sur lesquels le sous-traitant intervient, contribution aux audits, sécurité, destruction des données, …).

Ainsi lorsque le sous-traitant reçoit une instruction du responsable de traitement qui, selon lui, viole le RGPD, il doit l’en informer et lui indiquer dans quelles mesures cette violation peut être corrigée. Il doit également assister le responsable de traitement dans le traitement de l’exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage)

6/ L’obligation de notifier les violations de données au responsable de traitement

Le sous-traitant doit également notifier au responsable de traitement toute faille de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données ou l’accès non autorisé à ces données et ce, dans les meilleurs délais après en avoir eu connaissance.

Il appartient au responsable de traitement d’en informer les personnes concernées et de notifier cette violation de données à la CNIL ou à l’autorité de contrôle compétente (sauf si instruction expresse est donnée au sous-traitant de le faire pour son compte).

 

 

Il reste donc moins de huit mois aux prestataires informatiques et e-marketing pour préparer leur mise en conformité au RGPD en révisant leurs contrats et en documentant leur mise en conformité (établissement du registre d’activité, élaboration d’un référentiel sécurité, mise en place des procédures de notification de violation de données, …). Encore un peu temps, mais le temps passe très vite.

 

C’est dans ce contexte que le Cabinet HAAS, fort de près de 20 ans d’expérience dans l’environnement digital et de sa triple labélisation CNIL intervient auprès de ses clients.

Définition des enjeux, cartographie des traitements, établissement des registres, externalisation de la fonction DPO, mise en place d’études d’impact etc. nos solutions sur-mesure s’adaptent à votre organisation dans une double logique de souplesse et d’efficacité.

Vous souhaitez en savoir plus sur nos offres, cliquez ICI

 

 

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com