Qu'est-ce qu'un sous-traitant ?

Un sous-traitant est une entité tierce engagée par un sous-traitant de données pour traiter des données personnelles au nom d'un responsable du traitement. Cette relation est essentielle dans le contexte du RGPD, car elle étend les responsabilités de protection des données à toutes les parties externes qu'un sous-traitant pourrait impliquer dans les activités de traitement.

Les rôles et responsabilités d'un sous-traitant

En vertu du RGPD, un sous-traitant doit se conformer aux mêmes obligations de protection des données que le sous-traitant initial. Cela implique de s'assurer que les données sont traitées de manière sécurisée et uniquement aux fins spécifiées par le responsable du traitement. Le sous-traitant, quant à lui, doit obtenir le consentement écrit préalable du responsable du traitement avant d'engager un sous-traitant, ce qui rend la transparence et la conformité essentielles.

Sous-traitants et leurs obligations légales

Le recours à des sous-traitants est strictement réglementé par le RGPD. Avant de pouvoir engager un sous-traitant, le sous-traitant doit informer le responsable du traitement et obtenir une autorisation spécifique. En outre, les sous-traitants doivent adhérer aux termes de l'accord de traitement des données, qui les lie au même niveau de protection des données que celui convenu entre le sous-traitant et le responsable du traitement.

Analogie avec le sous-processeur

Nous avons un enfant, un parent et un jouet. Imaginons que le jouet soit une donnée personnelle . L'enfant est celui qui joue avec le jouet, il a accès à son jouet et peut décider où le ranger. Cependant, le parent est le véritable propriétaire du jouet et il décide de ce que l'enfant peut faire ou non avec le jouet.

‍

En matière de protection des données, le jouet est la donnée, l'enfant est le sous-traitant et le parent est le responsable du traitement. Cela signifie que le responsable du traitement établit les règles sur la manière dont le sous-traitant peut utiliser les données, et que le sous-traitant doit respecter ces règles.

Exemple de sous-traitant : Google Drive

Les sous-traitants sont courants dans divers secteurs où des services spécialisés sont nécessaires. Par exemple, supposons que vous utilisez Google Drive. Google Drive (sous-traitant) choisit les serveurs sur lesquels stocker les données, les mesures de sécurité à mettre en place, mais en fin de compte, c'est vous qui décidez quelles données télécharger sur Google Drive, quand les modifier et quand les supprimer , ce qui fait de vous le responsable du traitement.

Remarque : un sous-traitant n'a pas besoin de stocker des données personnelles pour être considéré comme tel ; il suffit de transmettre ou d'accéder aux données pour être considéré comme tel. Par exemple, les outils d'intégration comme Zapier ou Integromat sont également considérés comme des sous-traitants.

En quoi un sous-traitant est-il différent d’un processeur ?

Un sous-traitant est une partie qui traite des données personnelles pour le compte du responsable du traitement, en suivant directement les instructions de ce dernier. En revanche, un sous-traitant ultérieur est un tiers engagé par le sous-traitant pour effectuer des tâches de traitement spécifiques pour le compte du responsable du traitement.

Alors que le sous-traitant entretient une relation directe avec le responsable du traitement, le sous-traitant est chargé par le sous-traitant de gérer certains aspects du traitement des données. Tous deux sont liés par les exigences du RGPD, mais leurs rôles et responsabilités diffèrent en fonction de leur relation avec le responsable du traitement des données.

Exemple : Supposons que Google Drive utilise Amazon Web Services pour exécuter ses serveurs et Mailchimp pour vous envoyer un e-mail lorsque quelqu'un vous donne accès à un fichier. Dans ce scénario, Amazon Web Services et Mailchimp sont les sous-traitants de Google Drive.

Lorsque nous utilisons un processeur comme Google Drive, nous appelons les processeurs qu'ils utilisent pour vous fournir un service (dans ce cas, Amazon Web Services et Mailchimp) des sous-processeurs.

Pour récapituler : les sous-traitants sont les sous-traitants de vos sous-traitants.

Pourquoi avez-vous besoin de savoir qui sont vos sous-traitants ?

Si dans votre entreprise vous agissez en tant que sous-traitant (la majorité des SaaS sont des sous-traitants), vous devez alors disposer d'un accord de traitement des données , qui est un accord requis par la loi qui définit vos responsabilités et celles du responsable du traitement.

Dans cet accord, vous devez préciser qui sont vos propres sous-traitants, car ils seront des sous-traitants pour vos clients. Vous devrez également inclure : la finalité pour laquelle vous engagez ces sociétés et les pays où les données sont traitées.

Dans notre exemple, dans leur accord de traitement des données, Google Drive aura :

Principaux points à retenir et conclusion

Dans cet article, nous vous avons aidé à comprendre les informations suivantes sur les sous-traitants :

• Les sous-traitants sont des tiers engagés par les sous-traitants pour traiter des données personnelles au nom des responsables du traitement des données, étendant ainsi les responsabilités du RGPD.
• Ils doivent se conformer aux mêmes obligations en matière de protection des données que les sous-traitants, notamment en matière d’obtention d’autorisation et de respect des accords de traitement des données.
• Une gestion appropriée des sous-traitants garantit la conformité, la transparence et la protection des données personnelles, réduisant ainsi les risques organisationnels.

Sous-traitants – FAQ

Quel est le rôle principal d’un sous-traitant ?

Un sous-traitant secondaire assiste le sous-traitant principal en effectuant des tâches de traitement de données spécifiques pour le compte du responsable du traitement. Il doit suivre les mêmes règles de protection des données que le sous-traitant principal.

Un sous-traitant doit-il être conforme au RGPD ?

Oui, les sous-traitants doivent se conformer à la réglementation RGPD et garantir que les données personnelles sont traitées en toute sécurité et conformément au contrat établi entre le responsable du traitement et le sous-traitant principal.

Un sous-traitant peut-il être engagé sans le consentement du responsable du traitement ?

Non, le responsable du traitement des données doit fournir un consentement écrit préalable avant qu'un sous-traitant puisse engager un sous-traitant.

Que se passe-t-il si un sous-traitant ne se conforme pas au RGPD ?

Si un sous-traitant ne se conforme pas au RGPD, le sous-traitant principal peut être tenu responsable et le sous-traitant peut être passible de sanctions. Il est essentiel que le sous-traitant et le sous-traitant respectent le RGPD.

Les sous-traitants sont-ils courants dans tous les secteurs ?

Les sous-traitants sont utilisés dans de nombreux secteurs, en particulier lorsque des services spécialisés sont nécessaires, comme dans le cloud computing, l'analyse de données et les services marketing.