Qu’est-ce que la sous-traitance de données personnelles ?

Publié le :

Dernière modification le :

Vous êtes ici : wp-rgpd.fr > blog > Qu’est-ce que la sous-traitance de données personnelles ?

Vous ne trouvez pas la réponse à votre question dans cet article ?

Contactez-moi

« Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte, sur instruction et sous l’autorité d’un autre organisme (responsable de traitement), dans le cadre d’un service ou d’une prestation. » (RGPD)

Le RGPD encadre les relations de sous-traitance de données personnelles

Il faut bien distinguer la sous-traitance commerciale de la sous-traitance de données personnelles. Une agence ou un freelance peut intervenir en tant que sous-traitant pour concevoir et réaliser le site Web d’un client, sans pour autant être son sous-traitant au sens du RGPD.

Les situations de sous-traitance de données personnelles

Vous êtes une agence Web ou un freelance ? Certaines prestations vous placent en qualité de sous-traitant de données personnelles vis-à-vis de votre client :

La maintenance implique la sauvegarde des fichiers et de la base de données du site de votre client qui récolte des données personnelles via son formulaire de contact. Il y a bien un traitement de données personnelles de votre part (conservation des données). Vous êtes sous-traitant.

Les analyses et bilans impliquent un traitement de données personnelles qui font de vous un sous-traitant au sens du RGPD.

Vous êtes sous-traitant de données personnelles si vous êtes détenteur du contrat d’hébergement sur lequel est installé le site Web de votre client, ou si vous l’hébergez sur votre propre installation.

Votre mission s’arrête à la livraison du site Web ?

Vous créez un site Web pour un client qui souscrit lui-même un hébergement en direct. Après la livraison, vous n’avez pas de contrat de maintenance avec ce client.

Tant que le site n’est pas en ligne, il ne collecte pas de données personnelles, et donc vous n’intervenez dans aucun traitement de données personnelles pour ce client. Vous n’êtes pas sous-traitant de données personnelles.

Par contre, vous devez livrer un site propre à effectuer des traitements de données conformes au RGPD.

Les 4 obligations de la sous-traitance de données

La sous-traitance de données personnelles implique des obligations pour le sous-traitant :

Transparence et traçabilité

Protection des données

Gérer la sous-traitance ultérieure

Alerte, assistance et conseil

1 · Les documents de la sous-traitance de données

La transparence et la traçabilité sont assurées grâce aux documents de la conformité.

Voici les 2 documents obligatoires pour un prestataire en sous-traitance de données personnelles :

  • Le registre des catégories de traitements,
  • Le contrat de sous-traitance de données personnelles.

Vous aurez bien sûr également un contrat de maintenance, mais celui-ci est lié à la relation commerciale, ce n’est pas un document de la conformité RGPD.

Et selon votre situation (événements, demandes, fin de contrat) :

  • Le registre des violations de données,
  • Les demandes d’exercice des droits des personnes et leurs réponses,
  • Le registre des destructions.

Un article plus complet sera consacré aux documents de la conformité.

2 · La sécurité des données en sous-traitance

La sous-traitance de données personnelles implique de prendre toute mesure technique et organisationnelle permettant de garantir un niveau de sécurité des données adapté aux risques

À noter que vos employés, si vous en avez, doivent être soumis à une obligation de confidentialité.

3 · Quand le sous-traitant a recours à un sous-traitant

Le sous-traitant peut avoir lui-même recours à des sous-traitants, c’est ce qu’on appelle la sous-traitance ultérieure.

Les sous-traitants ultérieurs sur un site Web sont des tiers qui opèrent un traitement de données personnelles (souvent la conservation des données sur leurs serveurs) et que vous avez choisis afin de vous permettre de réaliser votre mission de sous-traitance de données (sauvegarde voire hébergement).

La protection des personnes devant être assurée tout au long de la chaîne de sous-traitance de données personnelles, vous devez vérifier que vos sous-traitants offrent les garanties nécessaires afin que les traitements mis en œuvre pour le compte de votre client répondent aux exigences du RGPD et protègent les droits des personnes… Avec un point de vigilance majeur : le transfert de données hors Union européenne.

Selon le principe du Privacy by Default, vous limiterez les situations de sous-traitance de données personnelles, et vous n’hésiterez pas, si nécessaire, à remplacer un sous-traitant par un autre plus respectueux de la vie privée des personnes.

Les extensions WordPress

Les extensions WordPress le plus souvent impliquées dans la sous-traitance ultérieure de données personnelles sont les extensions de sauvegarde, car le choix du support de stockage dépend de vous (serveur FTP, Google Drive, Dropbox…).

Quid de l’extension de formulaires ?

Si des sauvegardes d’entrées sont conservées sur les serveurs de l’extension, c’est un sous-traitant de données personnelles. Mais ce n’est pas un sous-traitant ultérieur, car cette extension ne sert pas à remplir votre prestation de sous-traitance.

C’est un sous-traitant de votre client.

La société d’hébergement

L’hébergeur du site Web est le parfait exemple de sous-traitant de données personnelles, car celles-ci sont stockées sur les serveurs de la société d’hébergement. D’où l’importance de privilégier un prestataire offrant des mesures de sécurité optimales, dont la société est basée en Europe et le serveur situé sur le sol européen.

Certaines agences ou freelances hébergent le site de leurs clients sur un serveur de location dont le contrat est à leur nom (au lieu d’être au nom du client).

Cette pratique place le professionnel du Web en sous-traitance de données personnelles et l’hébergeur est un sous-traitant ultérieur.

4 · L’accompagnement RGPD

La sous-traitance de données personnelles implique un devoir d’alerte, d’assistance et de conseil RGPD vis-à-vis de votre client, pour ce qui est lié à son site Web. Vous devez :

  • Notifier à votre client toute violation de données, et l’aider à y répondre,
  • Informer votre client si une instruction de sa part vient enfreindre les règles de la protection des données,
  • Aider votre client à répondre à une demande d’exercice des droits.

Votre contrat de sous-traitance de données a pris fin ?

Au terme de votre prestation, il est en général prévu que les données en votre possession soient détruites. C’est un événement à inscrire au registre des destructions.

Comment être sûr de bien supprimer toutes les données ?

Vous ne pourrez conserver aucune sauvegarde ou liste de leads.

Vous supprimerez les sauvegardes de tous vos supports de stockage (cloud, disque dur PC, disque dur externe…). Vous penserez également à supprimer les emails éventuels contenant ces fichiers attachés, en prenant soin de vider la corbeille.

En savoir plus sur la sous-traitance de données personnelles

La CNIL édite un guide à destination des sous-traitants, que vous pourrez trouver en bas de cette page.

La sous-traitance de données n’a plus de secret pour vous ?

Bravo ! Je vous propose de poursuivre votre navigation sur le blog.

Vous ne trouvez pas la réponse à votre question dans cet article ?

Contactez-moi