La CNIL rappelle 6 bonnes pratiques pour respecter les données personnelles dans les relations de sous-traitance

Dans le cadre de sa stratégie de contrôle 2019, une des thématiques prioritaires de la CNIL concernait la répartition des responsabilités entre responsables de traitement et sous-traitants. En effet, avec l’application du RGPD, ces acteurs sont soumis à un certain nombre de nouvelles obligations.

La CNIL a ainsi réalisé des contrôles auprès de 15 fournisseurs de services et solutions informatiques en ligne. Si ces vérifications ont permis de mettre en évidence une réelle prise de conscience des nouvelles obligations pesant sur les sous-traitants, la CNIL a malgré tout souhaité rappeler quelques bonnes pratiques à adopter :

1. Déterminer le statut des acteurs impliqués

La CNIL conseille au donneur d’ordre et au prestataire de service de définir chacun leur rôle en menant ensemble une analyse, afin de pouvoir ensuite s’accorder sur leurs obligations respectives. Cependant, la CNIL alerte les organismes : cela ne signifie pas que les parties peuvent “choisir” ensemble la qualification qui les arrange.

2. Établir un contrat clair

Le responsable de traitement et le sous-traitant doivent conclure un contrat incluant plusieurs mentions obligatoires listées à l’article 28 du RGPD. La CNIL relève des points de vigilance sur deux de ces clauses :

○ La définition de l’objet, la durée, la nature et la finalité du traitement doit clairement apparaître dans le contrat de sous-traitance, car c’est cette clause qui fixe le cadre du traitement pour le sous-traitant.

○ Les conditions dans lesquelles le sous-traitant peut lui-même recourir à un sous-traitant doivent être précisées, et notamment quelle modalité d’autorisation est choisie par les parties.

3. Documenter l’activité de sous-traitance

La CNIL rappelle que le contrat doit impérativement comporter une clause selon laquelle le sous-traitant tient à disposition du donneur d’ordre toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre la réalisation d’audits.

Le sous-traitant doit également :

○ Veiller à ce que les instructions délivrées par le donneur d’ordre soient formalisées de manière écrite et les recenser afin d’être en mesure de démontrer qu’il agit sur instruction du responsable de traitement ;

○ Tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement ;

○ Tenir à disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de ses obligations et permettre la réalisation d’audits.

4. Proposer des outils respectueux des données personnelles

Le sous-traitant doit offrir des garanties suffisantes pour répondre aux exigences du RGPD et doit proposer des solutions et outils respectueux des données personnelles.  Pour sa part, le responsable de traitement doit veiller à recourir à des services qui incluent des fonctionnalités et outils techniques qui lui permettront d’assurer sa conformité, par exemple :

○ Une interface de recueil du consentement, si le traitement de données personnelles mis en œuvre par le responsable de traitement requiert le consentement de la personne ;

○ Un lien de désinscription automatique afin de permettre à l’utilisation de retirer son consentement à tout moment ;

○ Une interface et un modèle d’information des personnes ;

○ Un système de purge automatique des données.

5. Aider le responsable de traitement à répondre aux demandes d’exercices des droits des personnes

Le sous-traitant doit aider le responsable de traitement à répondre aux demandes d’exercice des droits qu’il reçoit. Pour cela, la CNIL rappelle l’importance d’organiser, dès la conclusion du contrat de sous-traitance, les modalités de cette assistance et de veiller à ce que la solution fournie par le sous-traitant intègre des fonctionnalités permettant de répondre à ces demandes facilement et rapidement (par exemple une interface d’exercice des droits des personnes avec un système de suivi et de répartition automatique des demandes en fonction de leur objet).

6. Garantir la sécurité des données collectées

Le responsable de traitement doit faire appel à un sous-traitant qui présente des garanties suffisantes en termes de sécurité. Le sous-traitant, quant à lui, doit assurer un niveau de sécurité suffisant au regard de la nature des données traitées.

Pour cela, la CNIL recommande notamment au responsable de traitement :

○ d’exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information (PSSI) ;

○ d’assurer et de documenter l’effectivité des garanties offertes par le sous-traitant en matière de protection des données.

Des travaux sont en cours au niveau du Comité européen de la protection des données (CEPD) sur les notions de responsable de traitement et de sous-traitant, qui permettront de préciser et compléter ces premiers rappels.

Si vous souhaitez en savoir plus sur les bonnes pratiques de la CNIL, suivez le lien :

https://www.cnil.fr/fr/responsable-de-traitement-et-sous-traitant-6-bonnes-pratiques-pour-respecter-les-donnees

Je partage

mattis risus. venenatis nunc ut ut dapibus sit fringilla commodo