Pour les sous-traitants, les hébergeurs ou les plateformes de gestion de données, être « GDPR compliant » au 25 mai prochain, c’est l’obligation de revoir tous les contrats de service.
C’est un des corollaires de la directive européenne : elle supprime la plupart des obligations déclaratives auprès du régulateur mais elle crée, en parallèle, un principe de responsabilité plutôt étendu. Responsables de traitements et sous-traitants vont donc devoir réexaminer leurs contrats.
Quelles sont les obligations des sous-traitants ?
La sécurité des données personnelles devra être assurée par le responsable de traitement mais aussi par le sous-traitant. Leur objectif commun est ainsi d’assurer la confidentialité, l’intégrité, la disponibilité et surtout la notion nouvelle de « résilience des systèmes et des services de traitement des données. »
Les exigences du nouveau règlement a une influence directe sur les futurs contrats conclus avec les prestataires. Le contenu du contrat est en effet enrichi et doit préciser notamment la finalité du traitement, la durée de conservation des données et les obligations du sous-traitant.
Jusqu’ici les sous-traitants avaient une responsabilité contractuelle vis-à-vis du responsable du traitement sous réserve d’un contrat écrit entre les deux parties.
À partir du 25 mai 2018, même en l’absence d’un contrat signé, les sous traitants seront désormais partiellement responsables des traitements de données qu’ils mettent en œuvre pour le compte d’une entreprise tierce. Ils pourront donc être audités voire sanctionnés en cas de non-respect du GDPR.
Quelles sont leurs nouvelles obligations ?
- Tenir un registre des traitements
- En cas de violation de sécurité, mettre en œuvre les procédures et mesures de sécurité
- Transmettre au plus tard dans les 72 heures l’ensemble des éléments que le responsable de traitement est tenu de transmettre à la CNIL
- Contester les instructions du responsable de traitement si elles sont contraires à la loi
- Assister le responsable de traitement en cas de demande d’accès, d’effacement, de portabilité, etc…
Comment les entreprises peuvent se mettre en ordre de marche ?
Il est nécessaire, dans un premier temps de faire un état des lieux afin de classifier les données selon leur typologie. Ensuite, un audit et une étude de risque seront envisagés.