Le RGPD: quels enjeux pour les sous-traitants?

À l'heure de la migration massive des données dans le cloud, l'entrée en vigueur du règlement général pour la protection des données à caractère personnel modifie en profondeur la gestion et la conservation de ces données. Adopté par le Parlement européen, et applicable à partir du 25 mai 2018 à l'ensemble des membres de l'UE, le Règlement européen sur la protection des données (RGPD) est au centre des préoccupations des entreprises. Selon IDC, de nombreuses sociétés vont décider d'externaliser le traitement des données RH afin de limiter leurs risques et de respecter leurs obligations de conformité. Alors comment assurer la conformité des entreprises à moins d'un an de l'applicabilité du RGPD? En tant que sous-traitant, quelles sont les précautions à prendre en compte pour intégrer les nouvelles exigences du RGPD en toute sérénité?

Sous-traitant, un statut déjà existant, désormais plus exigeant

Un sous-traitant dispose d'un mandat de traitement des données personnelles défini par le responsable de traitement et agit sur instruction du responsable de traitement. Le mandat est principalement formalisé par les contrats qui lient le sous-traitant à ses clients. Ainsi, une mise à jour active et continuelle des modèles de contrats en intégrant directement les clauses obligatoires décrites à l'article 28 du RGPD permet dans un premier temps d'être conforme contractuellement. Afin d'établir les rôles et responsabilités en matière de protection des données personnelles, une politique et une matrice de responsabilité type peuvent également être établies.

Se positionner comme partenaire de confiance

Le RGPD insiste sur les devoirs du sous-traitant:

• Un devoir de conseil, notamment sur les sujets de sécurité,
• Un devoir d'assistance en cas de demande des personnes concernées,
• Un devoir de coopération, par exemple en cas de contrôle de la CNIL.

Des devoirs qui nécessitent de se positionner comme partenaire de confiance pour ses clients. Une confiance et une coopération mutuelles d'autant plus indispensables que les sanctions sont désormais partagées, le sous-traitant pourra être contrôlé et sanctionné par la CNIL au même titre que l'est aujourd'hui le responsable de traitement.