Un sous traitant RGPD au sens du Règlement Général sur la Protection des Données est une entité qui traite les données personnelles pour le compte d’une autre entité. Ce qui signifie qu’il va manier les données personnelles de ses clients. La finalité de ce traitement est de délivrer un produit ou un service pour le compte de celui-ci.
C’est une définition différente de celle d’une sous-traitance classique. Selon l’Association française de Normalisation (Afnor) : « la sous-traitance rgpd est définie comme l’opération par laquelle un entrepreneur confie par un sous-traité, et sous sa responsabilité, à une autre personne appelée sous traitant, tout ou partie de l’exécution du contrat d’entreprise ou du marché public conclu avec le maître de l’ouvrage »
Il existe un autre type de relation entre parties qui traitent des données personnelles communes : La co-responsabilité dans un cas de co-traitement. Il est assez bien moins fréquent.
Prenons le cas d’une plateforme Saas ou une application mobile de type Doctolib, qui permet de prendre un rendez-vous avec un professionnel de santé. Doctolib est le sous-traitant des professionnels de santé puisqu’il va traiter des données personnelles pour leur compte.
Les données personnelles (nom, prénom, numéro de téléphone, adresse mail, …) sont traitées afin de programmer un rendez-vous entre le patient et le professionnel de santé.
Un prestataire technique est une entité qui se charge ou qui est chargée de fournir une prestation pour le compte d’une autre structure. C’est-à-dire qu’il va fournir un travail ou un service.
C’est la nature précise des prestations qui permet de qualifier le prestataire de sous-traitant ou non. Si la prestation passe par le traitement de données personnelles pour le compte du client, le prestataire technique est un sous traitant RGPD. Le prestataire non sous-traitant ne sera pas audité par son client sur le volet RGPD.
Faites du RGPD
un atout business !
Un sous traitant rgpd a plus de responsabilité envers le RGPD car au-delà de respecter les règles sur les données personnelles au sein de sa structure, il doit également le prouver auprès de ses clients et prendre la responsabilité des données personnelles traitées (cf. DPA dans les CGV).
Une structure qui n’est pas sous-traitante mais qui traite des données personnelles a l’obligation d’être en conformité RGPD sous peine de sanctions. Pour un sous traitant, il est clair que la conformité RGPD est un pilier fondamental pour proposer ses services. Ses clients et prospects ne pourront travailler avec lui que s’il leur démontre sa conformité. En effet, dans le cadre de leur conformité RGPD, ils doivent lister leur sous-traitants et vérifier leur conformité RGPD.
Cependant, les pans de conformité restent les mêmes pour un sous traitant rgpd et un non sous traitant rgpd :
Certaines mentions doivent être présentes dans les CGV pour indiquer le statut de sous traitant. Vous devrez y indiquer et prendre la responsabilité en cas de fuite de données chez vous. En effet, votre client ne peut pas assurer lui-même la sécurité des données ou la mise en place des bons processus RGPD dans votre outil. Vous devrez donc porter cette responsabilité.
A la différence du registre des activités de traitement en tant que responsable de traitement, qui doit identifier l’ensemble des activités de traitements mis en œuvre par l’organisme lui-même. Le registre en tant que sous traitant rgpd doit permettre d’identifier toutes les catégories d’activités de traitement qui sont réalisées pour le compte des clients.
Il faut distinguer plusieurs niveaux de sous-traitance rgpd. Il y a tout d’abord le cas classique, le rang 1. C’est tout ce que la structure traite elle-même. Par exemple, un système de facturation ou un service de conciergerie sont un sous traitant rgpd de rang 1.
Un sous-traitant de rang 1 peut avoir une sous-traitance rgpd de rang 2. En effet, les services cités au-dessus peuvent avoir un hébergeur de données. Le RGPD impose de contrôler ses prestataires techniques sous-traitants. Dans ce cadre, il ne faut contrôler que les sous traitants de rang 1, c’est-à-dire vos propres sous traitants. Il n’est pas nécessaire de contrôler un sous traitant RGPD de vos sous-traitants. C’est leurs responsabilités de le faire.
Vous serez audité par vos clients. Dans le cadre de la conformité RGPD de vos clients, ils ont l’obligation de vérifier que leurs prestataires, sous-traitants, respectent le RGPD. Ils réalisent donc des audits de conformité RGPD via leur DPO interne ou externe.
Cela consiste généralement en une liste de questions à répondre et les documents de conformité RGPD à fournir pour vérifier la conformité de votre structure (dont votre plateforme digitale) en termes de sécurité des données et le respect des règles RGPD.
Par exemple, la politique de confidentialité qui informe les utilisateurs sur les données collectées, leur utilisation et les droits des utilisateurs, la vérification du consentement préalable et la durée de conservation.
Il sera également demandé un rapport de Privacy by design qui indique que l’application est conforme ou qu’un plan d’action correctif est en cours.
Lorsqu’un sous traitant n’est pas conforme RGPD, il fait face à plusieurs risques qui peuvent nuire à la croissance de la structure.
Le risque CNIL est le plus connu. Un contrôle peut déboucher sur une mise en demeure de corriger les points défaillants.
Mais attention, le risque CNIL n’est pas le plus important aujourd’hui. Le plus grand risque vient de vos prospects et clients. De plus en plus de structures demandent de prouver la conformité RGPD avant de signer un contrat. Pire ! ils ne vous contactent même pas s’ils voient un site web non conforme. Vos clients vont également devoir vous quitter si le résultat de l’audit RGPD est mauvais et que vous n’avez pas de plan de mise en conformité.
Donc si vous n’êtes pas en conformité RGPD, vous risquez de perdre des clients et vos prospects vont aller voir ailleurs. Donc c’est un frein pour la croissance de votre entreprise.
Découvrez dès à présent le guide sur les enjeux du RGPD des startups, petites et moyennes entreprises.
Un questionnaire de 40 min pour alimenter votre DPO dédié.
Une mise en œuvre rapide, pour une conformité totale.
Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.
Dipeeo prend la responsabilité de votre conformité RGPD.
Dipeeo réalise tous les livrables nécessaires à votre conformité.
Forfait mensuel tout inclus. Aucun devis complémentaire.
Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.
Ou appelez nous directement au
+33 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.