Le CEPD a adopté, le 2 septembre 2020, des lignes directrices sur les notions de responsable du traitement et de sous-traitant.
Dans ses lignes directives du 2 septembre 2020, le CEPD a fourni certains éléments d’information relatifs à la relation entre un responsable du traitement et son sous-traitant.
- Le CEPD indique que, lorsque le responsable du traitement souhaite s’assurer que son sous-traitant présente des garanties suffisantes, au sens du RGPD, il doit évaluer :
- les connaissances du sous-traitant, notamment son expertise technique en matière de sécurité ;
- la fiabilité du sous-traitant ;
- les ressources du sous-traitant.
- Le CEPD rappelle, au sujet du contrat de sous-traitance en tant que tel, que l’obligation de conclure celui-ci pèse à la fois sur le responsable du traitement et sur son sous-traitant.
De plus, ce contrat ne doit pas se contenter de rappeler les exigences du RGPD, il doit aussi mentionner les informations concrètes permettant de déterminer comment ces exigences seront remplies.
A ce titre, le contrat doit inclure, notamment :
- des informations quant aux mesures de sécurités qui doivent être adoptées par le sous-traitant ;
- l’obligation du sous-traitant d’obtenir l’accord du responsable du traitement en cas de changement de ces mesures ; ainsi que
- une revue régulière desdites mesures, de sorte que les parties soient assurées de leur adéquation aux risques.
S’agissant de l’assistance due au responsable du traitement quant aux requêtes dont les personnes le saisissent afin d’exercer leurs droits, le CEPD indique que la gestion de ces requêtes peut être confiée au sous-traitant, bien que cela ne décharge pas le responsable du traitement de sa responsabilité de répondre auxdites requêtes.
S’agissant de l’obligation de notification en cas de violation de données, qui pèse sur le sous-traitant, le CEPD recommande de formaliser, dans le contrat, une durée de notification, par exemple un nombre d’heures.
Le CEPD rappelle, enfin, que le sous-traitant doit imposer à son propre sous-traitant les mêmes obligations en matière de protection de données que celles lui incombant au titre du contrat conclu avec le responsable du traitement. Cela inclut notamment l’obligation, pour le sous-traitant ultérieur, de permettre la réalisation d’audits par le responsable du traitement ou un autre auditeur qu’il aurait mandaté.
Lien vers les lignes directrices : Ici
