La CNIL rappelle 6 bonnes pratiques pour respecter les données personnelles dans les relations de sous-traitance

Dans le cadre de sa stratégie de contrôle 2019, une des thématiques prioritaires de la CNIL concernait la répartition des responsabilités entre responsables de traitement et sous-traitants. En effet, avec l’application du RGPD, ces acteurs sont soumis à un certain nombre de nouvelles obligations.

La CNIL a ainsi réalisé des contrôles auprès de 15 fournisseurs de services et solutions informatiques en ligne. Si ces vérifications ont permis de mettre en évidence une réelle prise de conscience des nouvelles obligations pesant sur les sous-traitants, la CNIL a malgré tout souhaité rappeler quelques bonnes pratiques à adopter :

1. Déterminer le statut des acteurs impliqués

La CNIL conseille au donneur d’ordre et au prestataire de service de définir chacun leur rôle en menant ensemble une analyse, afin de pouvoir ensuite s’accorder sur leurs obligations respectives. Cependant, la CNIL alerte les organismes : cela ne signifie pas que les parties peuvent “choisir” ensemble la qualification qui les arrange.

2. Établir un contrat clair

Le responsable de traitement et le sous-traitant doivent conclure un contrat incluant plusieurs mentions obligatoires listées à l’article 28 du RGPD. La CNIL relève des points de vigilance sur deux de ces clauses :

○ La définition de l’objet, la durée, la nature et la finalité du traitement doit clairement apparaître dans le contrat de sous-traitance, car c’est cette clause qui fixe le cadre du traitement pour le sous-traitant.

○ Les conditions dans lesquelles le sous-traitant peut lui-même recourir à un sous-traitant doivent être précisées, et notamment quelle modalité d’autorisation est choisie par les parties.

3. Documenter l’activité de sous-traitance

La CNIL rappelle que le contrat doit impérativement comporter une clause selon laquelle le sous-traitant tient à disposition du donneur d’ordre toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre la réalisation d’audits.

Le sous-traitant doit également :

○ Veiller à ce que les instructions délivrées par le donneur d’ordre soient formalisées de manière écrite et les recenser afin d’être en mesure de démontrer qu’il agit sur instruction du responsable de traitement ;

○ Tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement ;

○ Tenir à disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de ses obligations et permettre la réalisation d’audits.

4. Proposer des outils respectueux des données personnelles

Le sous-traitant doit offrir des garanties suffisantes pour répondre aux exigences du RGPD et doit proposer des solutions et outils respectueux des données personnelles.  Pour sa part, le responsable de traitement doit veiller à recourir à des services qui incluent des fonctionnalités et outils techniques qui lui permettront d’assurer sa conformité, par exemple :

○ Une interface de recueil du consentement, si le traitement de données personnelles mis en œuvre par le responsable de traitement requiert le consentement de la personne ;

○ Un lien de désinscription automatique afin de permettre à l’utilisation de retirer son consentement à tout moment ;

○ Une interface et un modèle d’information des personnes ;

○ Un système de purge automatique des données.

5. Aider le responsable de traitement à répondre aux demandes d’exercices des droits des personnes

Le sous-traitant doit aider le responsable de traitement à répondre aux demandes d’exercice des droits qu’il reçoit. Pour cela, la CNIL rappelle l’importance d’organiser, dès la conclusion du contrat de sous-traitance, les modalités de cette assistance et de veiller à ce que la solution fournie par le sous-traitant intègre des fonctionnalités permettant de répondre à ces demandes facilement et rapidement (par exemple une interface d’exercice des droits des personnes avec un système de suivi et de répartition automatique des demandes en fonction de leur objet).

6. Garantir la sécurité des données collectées

Le responsable de traitement doit faire appel à un sous-traitant qui présente des garanties suffisantes en termes de sécurité. Le sous-traitant, quant à lui, doit assurer un niveau de sécurité suffisant au regard de la nature des données traitées.

Pour cela, la CNIL recommande notamment au responsable de traitement :

○ d’exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information (PSSI) ;

○ d’assurer et de documenter l’effectivité des garanties offertes par le sous-traitant en matière de protection des données.

Des travaux sont en cours au niveau du Comité européen de la protection des données (CEPD) sur les notions de responsable de traitement et de sous-traitant, qui permettront de préciser et compléter ces premiers rappels.

Si vous souhaitez en savoir plus sur les bonnes pratiques de la CNIL, suivez le lien :

https://www.cnil.fr/fr/responsable-de-traitement-et-sous-traitant-6-bonnes-pratiques-pour-respecter-les-donnees

Je partage

Derniers articles

Boîte blanche Digitemis

Cybersécurité

Faire des tests d’intrusion

Faire des tests d’intrusion à quoi ça sert ? Comment sont-ils réalisés et par qui ? On vous explique tout aujourd’hui. Pourquoi faire des tests d’intrusion ? Communément appelé « pentest » (de l’anglais « Penetration Testing »), le test d’intrusion est un audit de cybersécurité dont l’objectif est de mettre à l’épreuve une application ou un système d’information face […]

Lire l'article

Réseau du DPO

Privacy

Moi DPO : Au centre du réseau

Dans notre série “Moi DPO” nous avons vu, d’une part,  le “Portrait-robot du DPO en France” et, d’autre part,  “Démarrer une mission de délégué à la protection des données personnelles“. Poursuivons l’installation de notre DPO par la construction de son réseau, interne et externe, sans lequel il ne pourra pas avancer efficacement. 1. Le réseau […]

Lire l'article