Le sous-traitant, au sens du RGPD, est celui qui agit pour votre compte et sur vos instructions dans le cadre de la gestion d’un traitement de données particulier (ex. prestataire informatique, cabinet d’expertise-comptable, hébergeur de données, etc…). Ainsi, la mise en conformité des sous-traitants est un point essentiel dans la mesure où vous êtes co-responsables en cas de manquement aux obligations du RGPD. Par conséquent, comment vérifier la conformité des sous-traitants ? C’est notre thématique du jour.
Dans le cadre de la mise en conformité au RGPD des sous-traitants, voici les étapes à suivre :
- Créer un tableau de suivi de la conformité des sous-traitants
- Identifier les sous-traitants et avoir une démarche proactive
- Dresser une liste des sous-traitants
- Identifier les traitements sous-traités
- Vérifier les contrats transmis par le sous-traitant
- Si aucune notion RGPD, envoyer un courrier de demande de conformité
- Documenter les réponses des sous-traitants
- Garder une trace des échanges
- Analyser les documents transmis par les sous-traitants
- Prendre des décisions pour les sous-traitants réfractaires
- En cas de non-réponse, envoyer une LRAR
- Conserver la preuve
- Si aucun retour suite à la LRAR, changer de prestataire
Les retours apportés par les sous-traitants doivent respecter les recommandations de la CNIL et de la Commission Européenne pour assurer l’effectivité de la conformité. Ainsi, des Clauses Contractuelles Types entre Responsable de traitement et le sous-traitant devront être mises en place pour définir les obligations et responsabilités de chacun.
Focus sur les transferts de données aux Etats-Unis
En effet, suite à l’invalidation de la décision d’adéquation nommée Privacy Shield, la poursuite des transferts de données personnelles vers les États-Unis sur la base des CCT dépendra donc des mesures supplémentaires mises en place par le sous-traitant. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas le niveau de protection adéquat que les clauses et ces mesures garantissent.
De plus et suite à la décision de la CNIL rendue le 27 décembre 2022, les anciennes clauses contractuelles types de la Commission ne peuvent plus être utilisées. Par conséquent, si le sous-traitant utilise les anciennes versions de CCT, celles-ci ne sont plus valides et ne peuvent plus servir de base juridique pour justifier un transfert.
La conformité des sous-traitants au RGPD est un point essentiel à vérifier dans la mesure où vous êtes co-responsables avec vos sous-traitants. Ainsi, obtenir des contrats non-conformes, c’est prendre le risque de se faire sanctionner en cas de contrôle de la CNIL. Pour plus d’informations, contactez nous !