Le sous-traitant agit sur instruction et sous l’autorité du responsable de traitement. Leurs relations sont obligatoirement contractualisées. Sous l’empire du droit antérieur, seuls les responsables de traitements pouvaient être mis en demeure ou sanctionnés par la Cnil pour des manquements à la protection des données. Le RGPD procède à un rééquilibrage et prévoit de nouvelles obligations pesant sur les sous-traitants.
Choisir ses sous-traitants et encadrer les relations contractuelles
Un responsable de traitement qui souhaite avoir recours à un sous-traitant doit :
- Veiller à ne faire appel qu’à des organismes présentant des garanties suffisantes ;
- Evaluer le degré de maturité du sous-traitant
- Rédiger des cahiers de charges adéquats
- Formaliser la prestation, préalablement à toute intervention, dans un contrat définissant les caractéristiques du traitement, ainsi que les différentes obligations des parties en matière de protection des données (article 28 du RGPD).
Sécuriser le contrat de sous-traitance
Le contrat doit contenir une série de clauses obligatoires :
- L’objet et la durée du traitement ;
- La nature et la finalité du traitement ;
- Le type de données à caractère personnel ;
- Les catégories de personnes concernées ;
- Les obligations et les droits du responsable de traitement.
Les engagements suivants du prestataire :
- prendre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD ;
- agir uniquement sur instruction documentée de l’Inserm, ce qui lui interdit notamment d’utiliser pour son compte ou de communiquer à des tiers les données remises ;
- ne pas sous-traiter tout ou partie des prestations qui sont confiées, sans l’autorisation écrite préalable de l’Inserm ; cette autorisation doit être formalisée dans le contrat ;
- prendre toutes mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques présentés par le traitement ;
- aider l’Inserm à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, et notamment mettre à sa disposition toutes la documentation nécessaire pour démontrer le respect de ces obligations (sécurité des données, notification des violations de données, analyse d’impact et consultation préalable de la Cnil) et pour permettre la réalisation d’audits ;
- aider l’Inserm à répondre aux demandes d’exercice des droits des personnes concernées ;
- veiller à ce que ses employés et prestataires soient soumis à un engagement de confidentialité ;
- notifier à l’Inserm toutes violations de données traitées pour le compte du responsable de traitement et sous ses instructions, dans les meilleurs délais après en avoir pris connaissance afin de permettre à l’Inserm de les notifier à la Cnil s’il y a lieu ;
- informer l’Inserm s’il estime qu’une instruction qui lui est donnée constitue une violation de la réglementation relative à la protection des données ;
- tenir un registre de toutes les catégories d’activité de traitement effectuées pour le compte de l’Inserm et de désigner un délégué à la protection des données s’il y a lieu ;
- respecter les principes de Privacy by design et Privacy by default, qui impliquent de prendre en compte la protection des données à chaque étape du processus (et notamment que seules les données personnelles nécessaires, au regard de la prestation, soient traitées).
Le contrat doit également :
- Fixer le sort des données à l’issue de la prestation (destruction ou restitution au responsable du traitement).
- Comporter une clause d’audit.
L’Inserm, en tant que responsable de traitement, doit de son côté
- Communiquer ses instructions ;
- Définir les différents process nécessaires au déroulement de la prestation (notification des violations de données, changement de sous-traitant, etc.) ;
- Veiller à ne communiquer que les données adéquates, pertinentes et non excessives au regard de la prestation ;
- Transmettre les données de façon sécurisée.
Point de vigilance
La Cnil a inscrit le respect du contrat de sous-traitance à l’ordre du jour de son programme annuel des contrôles en 2019. En cas de contrôle ou de contentieux, la question de la part de responsabilité de chacun dans les faits en cause devra être déterminée par la Cnil ou le juge, en particulier au vu du contrat. Il convient donc veiller à la mise en en place d’un contrat en cas de recours à un sous-traitant et de faire une revue des contrats en cours afin de garantir leur conformité aux dispositions de l’article 28 du RGPD. Un guide du sous-traitant (pdf), édité par la Cnil, précise ces obligations et les clauses à intégrer dans les contrats.
L’Inserm proposera bientôt un modèle type de contrat de sous-traitance.