[Episode 2] Les acteurs du RGPD | Qui est le sous-traitant ?
Minute RGPD
La question que nous entendons le plus souvent en formation est « Mais concrètement, qui est sous-traitant ? » ou parfois, on entend la conclusion un peu hâtive : « Ah donc, en fait n’importe quel prestataire est un sous-traitant ! »
Non, non, non.
Tout prestataire, tout « partenaire » ou « destinataire » ne devient pas d’office un sous-traitant.
Un sous-traitant, selon le RGPD, est un acteur (personne physique ou morale, privé ou public) qui traite des données POUR VOTRE COMPTE. Le traitement de données mis en œuvre par un sous-traitant répond donc à VOS BESOINS en tant que responsable du traitement.
Voici un exemple :
imaginons que vous êtes vous-même responsable de traitement :
Vous n’avez pas les moyens techniques d’assurer l’hébergement de votre base de données RH mais faites appel à un hébergeur qui peut s’en charger. Dans ce cas, l’hébergeur est sous-traitant.
A l’inverse, vous transmettez les données de vos salariés à la mutuelle choisie. La mutuelle n’est pas un sous-traitant car elle mettra en œuvre ses propres opérations de traitement pour ses propres besoins et les besoins des salariés. Il s’agit d’un simple destinataire et à la fois d’un responsable du traitement à part entière.
ATTENTION
Lorsque vous faites appel à un sous-traitant, vous devez encadrer votre relation via une clause, un avenant, ou une annexe qui préciseront les obligations de chaque acteur.
D’ailleurs, vous avez de la chance car la CNIL vous propose un modèle de clause dans son Guide du sous-traitant que vous pouvez utiliser à cet effet. Si vous ne les trouvez pas à votre goût, n’hésitez pas à consulter le modèle de clauses contractuelles types de la commission européenne.
Et si vous vous demandez si votre sous-traitant ne serait pas plutôt un responsable conjoint du traitement… abonnez-vous à la chaîne, on en parle au prochain épisode 😉
IA générative et données personnelles : les risques que vos équipes ignorent
Chaque jour, des milliers de salariés saisissent des données personnelles dans des outils d’IA générative sans en mesurer les conséquences juridiques. Tour d’horizon des risques majeurs et des réflexes à adopter.
Une demande d’exercice de droits peut sembler simple.
Jusqu’au moment où vous réalisez que les données personnelles sont… partout.
CRM, outils de ticketing, messagerie, drive, archives, solutions SaaS parfois souscrites sans réelle visibilité centrale.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
![[Episode 2] Les acteurs du RGPD | Qui est le sous-traitant ?](https://actecil-academy.eu/wp-content/uploads/2022/01/pensive-young-european-woman-looks-away-with-thoughtful-face-expression-buried-in-cereals-has-healthy-nutrition-prepares-breakfast-surrounded-by-cornflakes-diet-and-balanced-eating-concept.jpg)
