Parmi les obligations du responsable de traitement, le Règlement Européen sur la Protection des Données lui impose de faire uniquement appel à des sous-traitants (consultant RGPD, consultant…) qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir le respect du Règlement[1].
Pour rappel, le responsable de traitement est celui qui détermine les finalités et les moyens essentiels du traitement (catégorie de personnes concernées, données concernées, durée de conservation, destinataires, etc.)[2]. Le sous-traitant est celui qui traite les données personnelles sur instruction et pour le compte du responsable de traitement, il peut avoir une marge pour déterminer les moyens non-essentiels (moyen purement technique)[3]. En pratique, cela signifie qu’un organisme qui souhaite confier tout ou partie d’un traitement à un prestataire devra sélectionner ce prestataire en fonction des garanties qu’il présente quant à sa conformité au Règlement Européen sur la Protection des Données.
Attention ! L’obligation de sélection s’applique à tous les prestataires à partir du moment où ils traitent des données, peu importe le montant de la prestation.
Si cette obligation est imposée au Responsable de traitement et risque de bousculer leurs méthodes de fonctionnement pour la sélection de leur prestataire, elle a aussi un impact important pour les sous-traitants. En effet, si les sous-traitants veulent être sélectionnés, ils doivent mettre en place des mesures techniques et organisationnelles pour se mettre en conformité au Règlement Européen sur la Protection des Données. Donc, le risque pour les sous-traitants est d’être écartés de la sélection par les Responsables de traitement en raison du manque de garanties qu’ils présentent.
Il convient dans un premier temps de définir le périmètre de la sélection. Quels prestataires ou fournisseurs doivent être sélectionnés en fonction des garanties RGPD qu’ils présentent ? Seuls les prestataires et fournisseurs qui effectuent une opération de traitement pour le compte du responsable de traitement entrent dans le périmètre. Il s’agit par exemple des prestataires qui vont accéder aux données, collecter, structurer, organiser, conserver, extraire, consulter, utiliser ou détruire les données pour le compte du responsable de traitement.
On pourrait par exemple citer les prestataires d’archivage, les prestataires de destruction, les prestataires qui vont héberger des données pour le compte du responsable de traitement, les fournisseurs de logiciel SaaS, les fournisseurs de logiciel qui vont assurer la maintenance de l’outil, les prestataires marketing (e-mailing, etc.), les prestataires qui vont assurer la sécurité du réseau de l’organisme, les prestataires pour l’établissement des bulletins de paie, etc.
Les prestataires qui ne font pas d’opérations de traitement sur des données personnelles pour le compte du responsable de traitement n’ont donc pas besoin d’être sélectionnés en fonction de leurs garanties RGPD. Par exemple, seront exclus d’une telle sélection les éditeurs de logiciels qui n’ont pas accès aux données personnelles.
Par ailleurs, seuls les sous-traitants font l’objet d’une telle sélection. Les destinataires de données qui traitent des données pour leur propre compte, comme les partenaires commerciaux, ou les tiers autorisés à recevoir des données comme l’URSSAF, ne doivent pas être sélectionnés en fonction des garanties qu’ils présentent pour la conformité au Règlement Européen sur la protection des données. De même, les responsables conjoints du traitement n’ont pas à faire l’objet d’une telle sélection.
En pratique, afin de s’assurer que cette sélection est effectivement mise en œuvre au sein de l’organisme, une procédure de sélection des sous-traitants peut être mise en place. Une grille ou un questionnaire de sélection pourra être associée à cette procédure. Elle sera alors envoyée au prestataire candidat afin d’être complétée par lui et retournée au responsable de traitement. Le prestataire sera alors sélectionné au regard des réponses apportées par rapport aux attentes du responsable de traitement. La procédure pourrait aussi contenir une grille de notation, le prestataire serait alors sélectionné en fonction de la note obtenue.
Une fois la procédure et la grille établies, ces dernières doivent faire l’objet d’une communication en interne et les personnes identifiées pour mettre en œuvre la procédure devront être formées. Pour identifier ces personnes, il faudra d’abord définir en interne si la procédure de sélection est centralisée au niveau du département Achats, auquel cas seuls les collaborateurs des achats auront besoin d’être formés. Si chaque service gère lui-même ses sous-traitants et applique donc la procédure, la procédure devra être communiquée à chaque service qui devra être formé dans le but d’être autonome dans sa mise en œuvre.
Ensuite, il faut déterminer en interne le moment où il faudra procéder à la sélection du sous-traitant. Par exemple, la sélection pourrait intervenir pendant la phase de conception du projet, ou pendant les appels d’offres. En tout état de cause, la sélection devra intervenir avant le démarrage de la prestation. Il faudra aussi déterminer le moment où devra être envoyée la grille de sélection. Elle pourra par exemple être envoyée en même temps que le cahier des charges ou au début des négociations contractuelles.
La grille ou le questionnaire pourrait par exemple contenir les questions suivantes pour le candidat sous-traitant :
Devenez un expert du RGPD grâce à nos formations spécifiques animées par nos DPO !
Des formations sur-mesure pour maitriser l’ensemble des bases nécessaires du RGPD.
La grille ou le questionnaire doit être adaptée à la prestation effectuée par le sous-traitant. Si le prestataire héberge les données pour le compte du responsable de traitement, la grille de sélection sera plus conséquente, notamment en termes de mesures de sécurité. Au contraire, un sous-traitant qui ne réalise pas un traitement risqué pour les données et la vie privée des personnes pourra recevoir une grille allégée.
Pour justifier les réponses apportées sur la grille ou le questionnaire et pour compléter l’analyse de la conformité du sous-traitant, le responsable de traitement devra demander de la documentation, comme la liste des sous-traitants ultérieurs, les certifications, les garanties juridiques des transferts hors Union Européenne, etc.
Le Délégué à la Protection des données du responsable de traitement et son Responsable de la Sécurité des Systèmes d’Information, s’ils existent, peuvent être consultés pour analyser les réponses des sous-traitants et la documentation associées afin de donner un avis.
Si la grille complétée et la documentation transmise par le sous-traitant démontre qu’il ne présente pas de garanties de conformité suffisantes :
Le responsable de traitement dispose d’une marge de manœuvre pour imposer de telles mesures correctives.Il pourrait par exemple conditionner la signature du contrat à un engagement contractuel visant à mettre en place les mesures correctives dans un délai définie. Le Délégué à la Protection des Données et le Responsable de la Sécurité des Systèmes d’Information, s’ils existent, peuvent être consulté afin d’identifier les mesures correctives les plus appropriées.
Une fois le sous-traitant sélectionné l’ensemble des clauses contractuelles prévues par l’article 28 du RGPD doivent être intégrées au contrat conclu avec le prestataire, ou faire partie d’un contrat dédié à la protection des données (Data Protection Agreement)[4]. Le contrat devra d’une part indiquer l’objet et la durée du traitement, sa nature et sa finalité, le type de données personnelles collectées, les catégories de personnes concernées ainsi que les droits et les obligations du responsable de traitement. D’autre part, le contrat devra contenir l’ensemble des clauses essentielles prévues par l’article 28. Pour plus d’information sur les clauses essentielles vous pouvez consulter notre article sur « La conformité au RGPD : check liste des clauses essentielles ».
Nous vous invitons à découvrir cet article sur le MDM, Master Data Management outil indispensable de conformité RGPD.
Télécharger notre Fiche Pratique « Tenue de registre de traitement » pour vous aider à y voir plus clair et avoir les bonnes méthodes pour agir.
[1]Article 28, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
[2]Avis du Groupe de Travail « Article 29 » 1/2010 sur les notions de « responsable du traitement » et de « sous-traitant ».
[3]Idem.
[4]Article 28, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.