En tant que startup, vous êtes amené à traiter des données personnelles. Vous pouvez avoir recours à des sous-traitants, au sens du RGPD (Règlement Général sur la Protection des Données), qui seront amenés à traiter des données personnelles de vos clients, prospects, salariés. Ces sous-traitants peuvent être de tout type, par exemple pour envoyer des newsletters, pour héberger vos données (prestataire d'hébergement), comme outil CRM, etc.
Si vous utilisez des sous-traitants qui ont accès aux données personnelles de vos clients, prospects, salariés, vous devez conclure un contrat de sous-traitance des données avec eux, qui est conformité à l'article 28 du RGPD.
Un sous-traitant au sens du RGPD est une entité qui traite les données personnelles pour le compte d'une autre entreprise, le responsable de traitement, en vertu d'un contrat de sous-traitance des données personnelles (DPA - Data Processing Agreement).
Le responsable de traitement décide des finalités du traitement, c'est-à-dire pourquoi il traite les données personnelles, et des moyens du traitement, c'est-à-dire comment il traite les données personnelles.
Quant au sous-traitant, il ne peut pas décider seul de l’utilisation des données. Son rôle se limite au traitement des données personnelles en conformité avec les instructions par le responsable de traitement, indiquées dans le contrat.
Le RGPD a instauré des règles précises concernant le contenu obligatoire des contrats de sous-traitance des données personnelles.
2.1. La description du traitement de données personnelles
Celui-ci devra inclure au minimum:
2.2. Les obligations du sous-traitant
Le sous-traitant a des obligations qui doivent être inscrites dans le contrat de sous-traitance des données.
2.2.1. Traitement des données personnelles sur instructions du responsable de traitement
Il doit être indiqué que le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
2.2.2. Obligations de confidentialité du sous-traitant
Le sous-traitant doit veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
2.2.3. Mesures de sécurité
Le sous-traitant doit prendre toutes les mesures de sécurité nécessaires pour protéger les données personnelles.
Le sous- traitant doit mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
2.2.4. Recrutement d'un nouveau sous-traitant
2.2.4.1. L'autorisation écrite générale ou spécifique
Il existe deux options pour recruter un nouveau sous-traitant :
Dans ce cas, le sous-traitant doit informer le responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable de traitement la possibilité d'émettre des objections à l'encontre de ces changements.
Dans ce cas, le sous-traitant devra obtenir l'autorisation écrite spécifique du responsable de traitement pour tout changement ou modification de sous-traitant.
2.2.4.2. Les obligations entourant le recrutement du sous-traitant ultérieur
Lorsque le sous-traitant recrute un autre sous-traitant, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant sont imposées à cet autre sous-traitant par contrat, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.
Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous-traitant de ses obligations.
2.2.5. Assistance du responsable de traitement pour répondre aux demandes d'exercice de droits des personnes concernées
Le sous-traitant doit aider le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits : par exemple droit d'effacement, droit de modification, etc.
2.2.6. Assistance du responsable de traitement
Le sous-traitant aide le responsable de traitement à garantir l'obligation de respecter les mesures de sécurité.
Il doit également aider le responsable de traitement à notifier une violation de données personnelles à la CNIL, qui est l'autorité de protection des données française. Le sous-traitant doit notifier le responsable de traitement d'une violation de données dans les meilleurs délais.
Si le responsable de traitement doit informer les personnes concernées de la violation de données, le sous-traitant doit assister le responsable de traitement pour cette information.
Le sous-traitant doit assister le responsable de traitement pour réaliser une analyse d'impact sur la protection des données si elle est nécessaire.
Le sous-traitant doit assister le responsable de traitement si l'autorité de protection des données doit être consultée préalablement au traitement dans le cas où l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque.
2.2.7. Supprimer les données
Selon le choix du responsable de traitement, le sous-traitant doit supprimer toutes les données à caractère personnel ou les renvoyer au responsable de traitement au terme de la prestation de services relatifs au traitement. Le sous-traitant doit détruire les copies existantes, sauf si une obligation légale exige la conservation des données à caractère personnel.
2.2.8. Audits
Le sous-traitant doit mettre à la disposition du responsable de traitement toutes les informations nécessaires pour démonter le respect des obligations relatives à la protection des données et pour permettre la réalisation d'audits, y compris des inscriptions, par le responsable de traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
2.2.9. Information en cas d'instruction contraire au RGPD
En cas d'instruction qui constitue une violation du RGPD ou d'autres obligations légales, le sous-traitant doit en informer immédiatement le responsable de traitement.
Lorsque vous choisissez un nouvel outil, vous devez vous assurer de sa conformité au RGPD. Vous devrez vérifier les mesures mises en place par le sous-traitant pour respecter le RGPD. Il est également recommandé de vérifier la localisation de l'hébergement des données personnelles et de privilégier un hébergement dans l'Union européenne.
Une question ? Un besoin ponctuel ou récurrent ?
Nous contacter pour un accompagnementTéléchargez nos templates
Retrouvez tous les contrats et documents juridiques pour créer et développer votre entreprise en 2023.
