Se connecter

Sous traitant RGPD

Qu’est-ce qu’un sous traitant RGPD ?

Un sous traitant RGPD au sens du Règlement Général sur la Protection des Données est une entité qui traite les données personnelles pour le compte d’une autre entité.

french tech
hébergeur de données de santé 
hébergeur données de santé 
agrément hébergeur de données de santé 
certification hébergeur de données de santé 
certification hébergeur données de santé 
hébergement de données de santé 
hébergement des données de santé 
hébergement données de santé 
hébergeur données de santé 
hebergeur de données de santé
french tech Hébergement de données de santé HDS
french tech Hébergement de données de santé HDS

Qu'est ce qu'un sous traitant RGPD ?

Un sous traitant RGPD au sens du Règlement Général sur la Protection des Données est une entité qui traite les données personnelles pour le compte d’une autre entité.  Ce qui signifie qu’il va manier les données personnelles de ses clients. La finalité de ce traitement est de délivrer un produit ou un service pour le compte de celui-ci.

C’est une définition différente de celle d’une sous-traitance classique. Selon l’Association française de Normalisation (Afnor) : « la sous-traitance rgpd est définie comme l’opération par laquelle un entrepreneur confie par un sous-traité, et sous sa responsabilité, à une autre personne appelée sous traitant, tout ou partie de l’exécution du contrat d’entreprise ou du marché public conclu avec le maître de l’ouvrage »

Il existe un autre type de relation entre parties qui traitent des données personnelles communes : La co-responsabilité dans un cas de co-traitement. Il est assez bien moins fréquent.

Exemples de sous traitant RGPD 🧐

1

Prenons le cas d’une plateforme Saas ou une application mobile de type Doctolib, qui permet de prendre un rendez-vous avec un professionnel de santé. Doctolib est le sous-traitant des professionnels de santé puisqu’il va traiter des données personnelles pour leur compte.

Les données personnelles (nom, prénom, numéro de téléphone, adresse mail, …) sont traitées afin de programmer un rendez-vous entre le patient et le professionnel de santé.

2

Si la société A met à disposition une plateforme aux employés d’une entreprise B afin de leur fournir un service comme par exemple de la conciergerie, la gestion des ressources humaines (RH) alors la société A est sous-traitante de la société B au sens du RGPD.

3

Les outils d’aide à la vente ou les supports commerciaux sur internet de type BOT sont également considérés comme sous traitants au sens du RGPD.

Les données personnelles des visiteurs sont récoltées afin d’aider à trouver le bon produit ou le service idéal. Chaque produit ou service est lié à des données spécifiques qui vont être traitées par l’outil ou à un support commercial afin qu’il puisse les traiter et faire le lien avec ce que vous recherchez.

Une partie de ces données sont des données personnelles. Les entreprises proposant un BOT sont donc sous-traitantes des e-commerces ou enseignes sur lesquelles elles fournissent le BOT.

Play Video about Sous traitant RGPD soutraitant sous traitant définition sous traitant rgpd article 28 rgpd

Qu’est-ce qui différencie un prestataire d’un sous traitant RGPD ?

Un prestataire technique est une entité qui se charge ou qui est chargée de fournir une prestation pour le compte d’une autre structure. C’est-à-dire qu’il va fournir un travail ou un service.

C’est la nature précise des prestations qui permet de qualifier le prestataire de sous-traitant ou non. Si la prestation passe par le traitement de données personnelles pour le compte du client, le prestataire technique est un sous traitant RGPD. Le prestataire non sous-traitant ne sera pas audité par son client sur le volet RGPD.

sous traitant sous-traitant rgpd sous traitant rgpd sous-traitant

Sous traitant RGPD :
Quel est l'impact sur la conformité RGPD ?

Un sous traitant rgpd a plus de responsabilité envers le RGPD car au-delà de respecter les règles sur les données personnelles au sein de sa structure, il doit également le prouver auprès de ses clients et prendre la responsabilité des données personnelles traitées (cf. DPA dans les CGV).

Une structure qui n’est pas sous-traitante mais qui traite des données personnelles a l’obligation d’être en conformité RGPD sous peine de sanctions. Pour un sous traitant, il est clair que la conformité RGPD est un pilier fondamental pour proposer ses services. Ses clients et prospects ne pourront travailler avec lui que s’il leur démontre sa conformité. En effet, dans le cadre de leur conformité RGPD, ils doivent lister leur sous-traitants et vérifier leur conformité RGPD.

Cependant, les pans de conformité restent les mêmes pour un sous traitant rgpd et un non sous traitant rgpd :

  • Informations des personnes
  • Conformité du site internet
  • Conformité des outils digitaux
  • Conformité des prestataires techniques
  • Ressources humaine
  • Prospection

Sous traitant RGPD :
Respecter des règles supplémentaires

Certaines mentions doivent être présentes dans les CGV pour indiquer le statut de sous traitant. Vous devrez y indiquer et prendre la responsabilité en cas de fuite de données chez vous. En effet, votre client ne peut pas assurer lui-même la sécurité des données ou la mise en place des bons processus RGPD dans votre outil. Vous devrez donc porter cette responsabilité.

Un sous traitant a l’obligation d’avoir dans ses contrats un accord appelé Data Processing Agreement (DPA) qui régit l’utilisation des données personnelles entre lui et son client.

Cet accord doit être soit annexé, soit indépendant des CGV. Il est obligatoire et doit également être disponible en ligne. Il s’agit d’un document clé en tant que sous traitant car il met en évidence la responsabilité des données personnelles traitées pour le compte de son client.

Sous traitant RGPD soustraitant

Le registre des activités de traitement en tant que
sous traitant RGPD

A la différence du registre des activités de traitement en tant que responsable de traitement, qui doit identifier l’ensemble des activités de traitements mis en œuvre par l’organisme lui-même. Le registre en tant que sous traitant rgpd doit permettre d’identifier toutes les catégories d’activités de traitement qui sont réalisées pour le compte des clients. 

Ce sont deux parties bien distinctes dans le registre des activités de traitement. Pour chaque activité, une fiche de registre doit être établie comme pour l’hébergement de données, ou la maintenance informatique à titre d’exemple.

Comment gérer la conformité RGPD lorsqu’il y a plusieurs niveaux de sous-traitance RGPD ?

Il faut distinguer plusieurs niveaux de sous-traitance rgpd. Il y a tout d’abord le cas classique, le rang 1. C’est tout ce que la structure traite elle-même. Par exemple, un système de facturation ou un service de conciergerie sont un sous traitant rgpd de rang 1.

Un sous-traitant de rang 1 peut avoir une sous-traitance rgpd de rang 2. En effet, les services cités au-dessus peuvent avoir un hébergeur de données.  Le RGPD impose de contrôler ses prestataires techniques sous-traitants. Dans ce cadre, il ne faut contrôler que les sous traitants de rang 1, c’est-à-dire vos propres sous traitants. Il n’est pas nécessaire de contrôler un sous traitant RGPD de vos sous-traitants. C’est leurs responsabilités de le faire.

sous traitant rgpd sous-traitant rgpd

Un sous traitant RGPD
est-il audité par ses clients ?

Vous serez audité par vos clients. Dans le cadre de la conformité RGPD de vos clients, ils ont l’obligation de vérifier que leurs prestataires, sous-traitants, respectent le RGPD. Ils réalisent donc des audits de conformité RGPD via leur DPO interne ou externe.

Cela consiste généralement en une liste de questions à répondre et les documents de conformité RGPD à fournir pour vérifier la conformité de votre structure (dont votre plateforme digitale) en termes de sécurité des données et le respect des règles RGPD.

Par exemple, la politique de confidentialité qui informe les utilisateurs sur les données collectées, leur utilisation et les droits des utilisateurs, la vérification du consentement préalable et la durée de conservation.

Il sera également demandé un rapport de Privacy by design qui indique que l’application est conforme ou qu’un plan d’action correctif est en cours.

Quels sont les risques pour un sous traitant RGPD ?

Lorsqu’un sous traitant n’est pas conforme RGPD, il fait face à plusieurs risques qui peuvent nuire à la croissance de la structure.

Le risque CNIL est le plus connu. Un contrôle peut déboucher sur une mise en demeure de corriger les points défaillants.

Mais attention, le risque CNIL n’est pas le plus important aujourd’hui. Le plus grand risque vient de vos prospects et clients. De plus en plus de structures demandent de prouver la conformité RGPD avant de signer un contrat. Pire ! ils ne vous contactent même pas s’ils voient un site web non conforme. Vos clients vont également devoir vous quitter si le résultat de l’audit RGPD est mauvais et que vous n’avez pas de plan de mise en conformité.

Donc si vous n’êtes pas en conformité RGPD, vous risquez de perdre des clients et vos prospects vont aller voir ailleurs. Donc c’est un frein pour la croissance de votre entreprise.

Nous traitons le sujet RGPD pour vous !

Audit conformité,
en 48h

Un questionnaire de 40 min pour alimenter votre DPO dédié.

Une mise en œuvre rapide, pour une conformité totale.

DPO externe dédié,
nommé à la CNIL

Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.

Dipeeo prend la responsabilité de votre conformité RGPD.

Coût fixe,
100% maîtrisé

Dipeeo réalise tous les livrables nécessaires à votre conformité.

Forfait mensuel tout inclus. Aucun devis complémentaire.

Play Video about Témoignages clients Dipeeo : votre DPO externalisé

Conformité CNIL totale garantie, dans la durée...

Une offre DPO externe dédié “tout inclus” qui s’adapte à vos évolutions futures sans aucun frais complémentaire.

Découvrir Dipeeo ?
Demander une démo !

Jade MASSOT

Ou appelez nous directement au

+33 01 59 06 81 85

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.