RGPD et sous-traitant : la nouvelle donne

RGPD et sous-traitantAurélie Banck livre pour Les Échos son analyse sur la nouvelle place faite au sous-traitant par le RGPD.

Le RGPD étend expressément les obligations du responsable du traitement au sous-traitant qui traite des données personnelles pour le compte de ses clients. Néanmoins, comme le souligne Aurélie Banck, la relation entre le sous-traitant et le responsable du traitement n’est pas unilatérale.

Tout d’abord, cette relation est nécessairement formalisée par un contrat ou tout autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen.

Ensuite, le sous-traitant a une obligation loyauté et de transparence qui le contraint à recenser par écrit les instructions de son client concernant les traitements de ses données afin de prouver qu’il agit « sur instruction documentée du responsable de traitement ».

De son côté, le responsable de traitement doit communiquer au sous-traitant les procédures lui permettant de respecter ses obligations notamment en matière de notification des violations de données. Il doit donc définir des process nécessaires au bon déroulement de la relation.

La relation n’est donc pas unilatérale, raison pour laquelle, souligne Aurélie Banck,  «  une bonne collaboration entre l’ensemble des parties apparaît nécessaire ».

Aurélie Banck, « RGPD : Pourquoi la relation entre sous-traitant et responsable du traitement n’est pas unilatérale », Les Echos du 24 septembre 2018.