Responsable de traitement des données, sous-traitant, co-responsable : où vous situez-vous ?

La définition du rôle d’un responsable de traitement vous pose des difficultés ? Vous devriez vous en inquiéter…

Dans une économie globalisée, la donnée personnelle est LA RESSOURCE la plus précieuse. Sans elle, impossible de développer votre activité.

Ces données circulent continuellement et, parfois, elles passent de main en main entre différentes entreprises. Ces dernières visent alors un but commun.

Entré en vigueur le 25 mai 2018, le RGPD (Le Règlement Général sur la Protection des Données) a créé un cadre à observer.

Les objectifs poursuivis par les pays de l’UE (Union européenne) sont simples :

• protéger la vie privée des ressortissants européens ;
• assurer leur liberté.

Comment ? En faisant des entreprises et de leurs partenaires des pièces essentielles de leur dispositif, tels le roi et la reine dans une partie d’échecs.

• Responsable de traitement,
• sous-traitant,
• co-responsable…

Chacun joue un rôle primordial.

Leto vous explique leurs implications dans ces "chaînes de traitement" par lesquelles transitent les données personnelles.

Le responsable du traitement : l’acteur clé

Selon la CNIL, “le responsable d'un traitement de données à caractère personnel est en principe la personne, l'autorité publique, la société ou l'organisme qui détermine les finalités et les moyens de ce fichier, qui décide de sa création.”

Vous doutez de votre statut dans le traitement des données détenues ? Êtes-vous le responsable légal de votre entreprise ?

La réponse est OUI. Alors, le législateur vous considère comme le responsable des traitements au sein de votre organisation.

Ce statut juridique est décisif. Le RGPD définit vos missions et vos obligations qui s'articulent autour des concepts de “finalités” et de “moyens” :

• Pourquoi voulez-vous traiter des données personnelles ? (La finalité.)

• Comment allez-vous réaliser ce traitement conformément à la réglementation européenne ? (Les moyens.)

Par exemple : à la suite d’un cambriolage, vous décidez d'installer un système de vidéosurveillance. Vous êtes responsable du traitement des images recueillies.

Les missions du responsable de traitement

• Collecte,
• stockage,
• traitement,
• transfert…

Quelles que soient les opérations envisagées et/ou réalisées, vous devez agir en respectant la loi du 25 mai 2018.

Le RGPD précise vos missions :

• Connaissance parfaite des obligations du règlement sur la protection des données.
  Par exemple : les formalités déclaratives auprès de la Commission nationale de l'informatique et des libertés.
  

• Maîtrise sur le bout des doigts des préconisations du RGPD.
  Ex : rédiger une politique de confidentialité transparente et compréhensible.
  

• Légalité des finalités et des moyens.
  Par exemple : le site internet de votre entreprise doit faciliter l'accès et la rectification des données personnelles à vos clients.

• Organisation de la sous-traitance des données.

• Mise en place des opérations de traitement.

• Documentation de vos actions pour démontrer la conformité de vos activités de traitement.

• Mise à jour d’un registre des activités de traitement (votre nom, votre prénom, les finalités des traitements, les mesures de sécurité...).

Autre point clé : vos collaborateurs suivent vos directives. Une formation régulière est incontournable pour des missions respectueuses du RGPD.

Le sous-traitant : votre “moyen”

Exemple de définition d’un sous-traitant

En tant qu’entreprise moderne, vous suivez inlassablement le fil directeur de l'efficacité. Et, pour apporter de la valeur à vos clients, vous déléguez les tâches secondaires.

• Solution informatique de gestion,
• stockage cloud,
• newsletters…

Le sous-traitant participe à vos performances. C’est un rouage central de votre organisation.

Pourtant, ce peut être aussi un maillon faible vis-à-vis de la confidentialité des données. Il peut mettre votre activité en péril si vous n’y prêtez garde.

Prenons pour exemple la gestion des paies.

Imaginez.

Vous avez conclu un accord avec une entreprise tierce qui vous propose une solution informatique de gestion. Cette entreprise gérant les fiches de paie de vos salariés possède ainsi des infos confidentielles sur ceux-ci. Voire des détails à la suite de litiges, des licenciements, des fautes commises…

Et si ces informations se retrouvaient diffusées sur le web ?

L'entreprise tierce est votre sous-traitante. Vous restez le responsable du traitement des données personnelles de vos employés.

Si, dû à une négligence, cette entreprise est victime d'une cyberattaque et perd le contrôle des informations de vos collaborateurs, vous avez tous les torts.

Lorsque des parents aident leurs enfants à louer un logement : ils se portent caution auprès du propriétaire. Eh bien, c’est un peu pareil ici ! Vous avez décidé de sous-traiter des données personnelles ? Vous êtes légalement responsable des opérations de traitement réalisées par votre sous-traitant.

Le RGPD pèse de tout son poids sur vos épaules. Vous êtes le garant de la protection des données personnelles confiées.

Le sous-traitant agit pour votre compte. Exécutant vos instructions, il est le "MOYEN" d'atteindre votre "FINALITÉ". Ces instructions doivent respecter le cadre défini par les pays de l'UE. Et plus encore…

Le contrat : les points clés à surveiller

Avant de déléguer, interrogez-vous sur le sérieux du sous-traitant.

• Offre-t-il des garanties suffisantes ?
• Est-il fiable ?
• Connaît-il précisément le RGPD ?
• Quelles mesures de sécurité (techniques et organisationnelles) adopte-t-il ?
• Détenez-vous un document de conformité des opérations de traitements ?

Rédigez un code de conduite ou mettez en place un mécanisme de certification. Vous démontrerez ainsi aux autorités de contrôle la conformité des opérations de traitement de votre sous-traitant. Donc les vôtres.

Un contrat est nécessaire pour préciser votre relation et les obligations de votre sous-traitant.  

“Par exemple, le contrat doit préciser ce que deviennent les données à caractère personnel quand le contrat prend fin.” (Source : Commission Européenne)

Ce contrat définit :

• l’objet du traitement ;
• les modalités (le type de données, la durée de conservation, les personnes concernées, les mesures techniques et organisationnelles de sécurité…) ;
• les finalités poursuivies ;
• les responsabilités du sous-traitant (obligation de coopération et d’assistance, respect de vos instructions…) ;
• les risques encourus par les personnes ciblées.

Autre possibilité : les clauses contractuelles types adoptées par la Commission ou une autorité de contrôle (utile pour tout transfert hors UE dans un pays tiers).

Les obligations du sous-traitant envers le responsable de traitement

Pour honorer parfaitement ce contrat, le sous-traitant doit :

• détenir vos instructions documentées ;
• obtenir votre autorisation écrite pour déléguer à un autre sous-traitant ;
• contrôler la circulation des données au sein de son entreprise (comme la gestion des habilitations d'accès aux données) ;
• tenir son propre registre de traitements ;
• nommer, si nécessaire, un DPO (Délégué à la Protection des Données).

Le co-responsable de traitement : un partenaire

Exemple de définition d’un co-responsable

Dans le cadre d’un partenariat, plusieurs entreprises peuvent définir "pourquoi" et "comment" traiter des données personnelles.

On parle de responsables conjoints.

Appuyons-nous sur un exemple proposé par la Commission européenne pour définir la coresponsabilité.

Imaginez à nouveau.

Vous êtes un spécialiste de la garde d'enfants. Votre activité repose sur une plateforme en ligne.

Une autre entreprise propose des services complémentaires : les parents pourront choisir le ou la baby-sitter et, s'ils le désirent, louer des jeux.

Pour apporter un maximum de valeur à votre cible commune, vous concluez un accord.

Un contrat vous lie :

• utilisation de la même plateforme en ligne ;
• gestion du même fichier clients.

Toutes les deux, vous êtes concernées par la partie technique de ce site Internet.

Finalités et moyens sont définis et partagés conjointement. Vous êtes donc des entreprises co-responsables.

À noter : un responsable conjoint profite de plus d'autonomie qu'un sous-traitant.

Le co-responsable de traitement : un contrat s’impose

Le RGPD encadre ce partenariat.

Un accord est nécessaire pour :  

• Préciser les responsabilités de chacun.
  Par exemple : la communication auprès des personnes concernées.

• Définir votre coopération en cas de violation de données.
  Un exemple : qui va contacter les personnes concernées en cas de fuite ?
• Déterminer vos niveaux de responsabilité en cas de négligence.

Responsable de traitement, soyez vigilant !

Vous en savez désormais un peu plus sur les notions de responsable de traitement, sous-traitant, et co-responsable.

La vigilance est de mise. Déterminer le rôle de chacun est essentiel pour assurer la cohérence du contrat qui vous lie, ainsi que vos engagements.

Votre responsabilité juridique (et donc financière en cas de non-respect du RGPD) est en jeu.

Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. Réserver une démo avec nos experts.