Fil d'actualité Protection des données personnelles

Protection des données personnelles

Centre national de la recherche scientifique

Accueil du siteSoustraitanceGuide du sous-traitant

Guide du sous-traitant

CNIL

Page publiée le 27 juin 2018

« sous-traitant », la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

Article 4 du RGPD

Le sous-traitant

Source CNIL


 Présentation

Les sous-traitants qui traitent des données personnelles pour le compte de leurs clients ont de nouvelles responsabilités au regard du Règlement européen sur la protection des données (RGPD). La CNIL publie un guide pour les sensibiliser et les accompagner dans la mise en œuvre concrète de leurs obligations.

Qui est concerné ?

Le RGPD impose des obligations spécifiques aux sous-traitants dont la responsabilité sera susceptible d’être engagée en cas de manquement.

Ces obligations concernent tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation.

Sont notamment concernés :

  • les prestataires de services informatiques (hébergement, maintenance, …),
  • les intégrateurs de logiciels,
  • les sociétés de sécurité informatique,
  • les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données,
  • les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients

Que doivent faire les sous-traitants ?

Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent prendre en compte la protection des données dès la conception du service ou du produit et par défaut et mettre en place des mesures permettant de garantir une protection optimale des données.

Les sous-traitants ont notamment une obligation de conseil auprès des clients pour le compte desquels ils traitent des données. Ils doivent les aider dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits).

Les sous-traitants devront tenir un registre des activités de traitement effectuées pour le compte de leurs clients.

Dans certains cas, ils devront désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement.

Présenté sous forme de questions-réponses, le guide propose également un exemple de clauses de sous-traitance à adapter et préciser selon la prestation de sous-traitance concernée.

Ce guide est un outil vivant qui pourra être enrichi compte tenu des bonnes pratiques remontées auprès de la CNIL par les professionnels

 Le guide en français

https://www.cnil.fr/sites/default/f...

 Le guide en anglais

https://www.cnil.fr/sites/default/f...

 Article 28 du RGPD

https://www.cnil.fr/reglement-europ...

 Clauses contractuelles

https://www.cnil.fr/fr/sous-traitan...