[Episode 2] Les acteurs du RGPD | Qui est le sous-traitant ?

[Episode 2] Les acteurs du RGPD | Qui est le sous-traitant  ?
Minute RGPD

La question que nous entendons le plus souvent en formation est « Mais concrètement, qui est sous-traitant ? » ou parfois, on entend la conclusion un peu hâtive : « Ah donc, en fait n’importe quel prestataire est un sous-traitant ! »

Non, non, non.

Tout prestataire, tout « partenaire » ou « destinataire » ne devient pas d’office un sous-traitant.

Un sous-traitant, selon le RGPD, est un acteur (personne physique ou morale, privé ou public) qui traite des données POUR VOTRE COMPTE. Le traitement de données mis en œuvre par un sous-traitant répond donc à VOS BESOINS en tant que responsable du traitement.

Voici un exemple :

imaginons que vous êtes vous-même responsable de traitement :

  • Vous n’avez pas les moyens techniques d’assurer l’hébergement de votre base de données RH mais faites appel à un hébergeur qui peut s’en charger. Dans ce cas, l’hébergeur est sous-traitant.

A l’inverse, vous transmettez les données de vos salariés à la mutuelle choisie. La mutuelle n’est pas un sous-traitant car elle mettra en œuvre ses propres opérations de traitement pour ses propres besoins et les besoins des salariés. Il s’agit d’un simple destinataire et à la fois d’un responsable du traitement à part entière.

ATTENTION

Lorsque vous faites appel à un sous-traitant, vous devez encadrer votre relation via une clause, un avenant, ou une annexe qui préciseront les obligations de chaque acteur.

D’ailleurs, vous avez de la chance car la CNIL vous propose un modèle de clause dans son Guide du sous-traitant que vous pouvez utiliser à cet effet. Si vous ne les trouvez pas à votre goût, n’hésitez pas à consulter le modèle de clauses contractuelles types de la commission européenne.

Et si vous vous demandez si votre sous-traitant ne serait pas plutôt un responsable conjoint du traitement… abonnez-vous à la chaîne, on en parle au prochain épisode 😉

Partager l'article

Articles similaires

Minute RGPD : pourquoi se former au RGPD  
Article RGPD Minute RGPD

Minute RGPD : pourquoi se former au RGPD  

Plongez-vous dans le scénario d'une entreprise prospère où les données client constituent une précieuse monnaie. Tout semble bien se passer jusqu'à ce qu'une nouvelle fuite de données massive éclate dans une entreprise concurrente. Face à cette réalité, comment assurer la sécurité des données de vos propres clients ?
Lire la suite
Mission sécurité : protéger les données de l’équipe  
Article RGPD Minute RGPD

Mission sécurité : protéger les données de l’équipe  

Dans le cadre d’un recrutement, les recruteurs sont amenés à collecter et utiliser des données personnelles des candidats. Comment garantir la conformité RGPD lors des recrutements ? Comment assurer la sécurité des données de vos employés ? En tant que professionnel RH, quelles informations pouvez-vous légitimement conserver ?
Lire la suite