Guide RGPD du sous-traitant : Les obligations et responsabilités à partir du 25 mai 2018

Les changements majeurs pour les sous-traitants

Le règlement européen sur la protection des données (RGPD) introduit une responsabilisation accrue des sous-traitants qui traitent des données personnelles pour le compte de leurs clients. Les sous-traitants ont désormais des obligations directes et peuvent voir leur responsabilité engagée en cas de manquement.

Les nouvelles obligations des sous-traitants

1. Obligation de transparence et traçabilité :

- Tenir un registre des activités de traitement

- Documenter les instructions du responsable de traitement

- Obtenir une autorisation pour faire appel à d'autres sous-traitants

2. Obligation de sécurité :

- Mettre en place des mesures techniques et organisationnelles appropriées

- Notifier les violations de données

- Garantir la confidentialité

3. Obligation d'assistance et de conseil :

- Aider le responsable de traitement dans ses obligations (analyses d'impact, notification de violations...)

- Alerter en cas d'instruction illicite

Les actions prioritaires à mettre en œuvre

1. Désigner un délégué à la protection des données si nécessaire

2. Réviser les contrats de sous-traitance pour y intégrer les clauses obligatoires

3. Mettre en place le registre des traitements

4. Définir les procédures de notification des violations

5. Former le personnel

Les sanctions encourues

En cas de non-respect des obligations, les sous-traitants s'exposent à :

- Des amendes administratives jusqu'à 20M€ ou 4% du CA mondial

- La responsabilité civile en cas de dommage

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Réaliser un audit de conformité complet de vos activités de sous-traitance

• Mettre à jour votre documentation contractuelle et vos procédures internes

• Sensibiliser et former vos équipes aux nouvelles obligations

• Mettre en place un dispositif de contrôle permanent