[Episode 2] Les acteurs du RGPD | Qui est le sous-traitant ?
La question que nous entendons le plus souvent en formation est « Mais concrètement, qui est sous-traitant ? » ou parfois, on entend la conclusion un peu hâtive : « Ah donc, en fait n’importe quel prestataire est un sous-traitant ! »
Non, non, non.
Tout prestataire, tout « partenaire » ou « destinataire » ne devient pas d’office un sous-traitant.
Un sous-traitant, selon le RGPD, est un acteur (personne physique ou morale, privé ou public) qui traite des données POUR VOTRE COMPTE. Le traitement de données mis en œuvre par un sous-traitant répond donc à VOS BESOINS en tant que responsable du traitement.
Voici un exemple :
imaginons que vous êtes vous-même responsable de traitement :
- Vous n’avez pas les moyens techniques d’assurer l’hébergement de votre base de données RH mais faites appel à un hébergeur qui peut s’en charger. Dans ce cas, l’hébergeur est sous-traitant.
A l’inverse, vous transmettez les données de vos salariés à la mutuelle choisie. La mutuelle n’est pas un sous-traitant car elle mettra en œuvre ses propres opérations de traitement pour ses propres besoins et les besoins des salariés. Il s’agit d’un simple destinataire et à la fois d’un responsable du traitement à part entière.
ATTENTION
Lorsque vous faites appel à un sous-traitant, vous devez encadrer votre relation via une clause, un avenant, ou une annexe qui préciseront les obligations de chaque acteur.
D’ailleurs, vous avez de la chance car la CNIL vous propose un modèle de clause dans son Guide du sous-traitant que vous pouvez utiliser à cet effet. Si vous ne les trouvez pas à votre goût, n’hésitez pas à consulter le modèle de clauses contractuelles types de la commission européenne.
Et si vous vous demandez si votre sous-traitant ne serait pas plutôt un responsable conjoint du traitement… abonnez-vous à la chaîne, on en parle au prochain épisode 😉