25 mai prochain, dernière ligne droite avant l’application du Règlement européen Général sur la Protection des Données (RGPD) qui imposera de nouvelles obligations aux entreprises et à leurs sous-traitants concernant le traitement des données à caractère personnel. Il convient de revoir vos contrats.

Le sous-traitant est défini par le Règlement général sur la protection des données comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Cela concerne de nombreux contrats notamment ceux avec des prestataires informatiques, tels que les hébergeurs ou les éditeurs de logiciels en mode Saas.

Le Règlement liste les obligations qui devront figurer dans le contrat et notamment :

• prendre toutes les mesures de sécurité requises en fonction de la nature des données comme par exemple le chiffrement des données, des mesures de rétablissement de données en cas d’incident ;
• aider le responsable de traitement par des mesures techniques et organisationnelles appropriées à s’acquitter de ses obligations (demande de modification des données par la personne concernée, notification des failles de sécurité, analyse d’impact pour les traitements à risque…) ;
• veiller à ce que les personnes autorisées à traiter les données s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
• interdire de sous sous-traiter sans l’autorisation expresse et écrite du responsable de traitement, et en cas d’accord, l’obligation de reporter l’ensemble des obligations lui étant imputables en matière de protection des données.

Malgré de telles dispositions contractuelles, dans certains cas, le prestataire gèrera de manière quasi-autonome les données qui lui sont confiées. Au sens Règlement, si la qualification de responsable du traitement peut difficilement être attribuée au prestataire, une responsabilité conjointe pourra être retenue.

Aussi, il convient d’auditer les contrats existants pour vérifier si les stipulations obligatoires y figurent et, à défaut, les prévoir par la signature d’un avenant et prévoir l’intégration des clauses obligatoires dans les contrats à venir. En cas de contrôle, la CNIL demandera à vérifier l’existence et le contenu de ces contrats.