Pour notre dernière étape, nous allons nous intéresser aux relations entre les différents acteurs du traitement de données.
Publié le 28/05/2018

Plusieurs acteurs peuvent intervenir dans le cadre d’un traitement de données à caractère personnel, il s’agit notamment du responsable de traitement et du sous-traitant.

Le responsable de traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.

Le sous-traitant est personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement dans le cadre d’un service ou d’une prestation.

Dès lors qu’une entreprise confie la gestion de ses données personnelles à des prestataires tiers (ex : hébergeurs de données, intégrateurs de logiciels, etc.), la relation entre ces acteurs se doit d’être encadrée.

La première chose à faire est de contractualiser, sous forme écrite, les relations entre le responsable de traitement et le sous-traitant. Devront notamment figurer dans ce contrat :

  • La définition du traitement, c’est-à-dire l’objet, la finalité, les types de données collectées, les personnes concernées, la durée de conservation,
  • Les droits et obligations des parties,
  • L'obligation pour le sous-traitant de respecter les directives prévues par le responsable de traitement dans le contrat,
  • L'obligation pour le sous-traitant d’aider et d’accompagner le responsable de traitement dans la mise en œuvre de sa conformité au RGPD,
  • L’impossibilité pour le sous-traitant de sous-traiter le traitement des données, sauf si autorisation écrite du responsable de traitement,
  • La suppression ou le renvoi au responsable de traitement des données par le sous-traitant à la fin du contrat,
  • L'obligation de confidentialité.

La responsabilité du responsable de traitement et du sous-traitant

Le responsable de traitement et le sous-traitant sont responsables à l’égard des personnes concernées en cas de violation du règlement ayant entraîné un dommage matériel ou moral. Ces personnes peuvent demander la réparation totale du préjudice auprès du responsable de traitement ou du sous-traitant.

Néanmoins, le RGPD précise déjà les responsabilités propres à chaque acteur :

  • Le responsable de traitement est responsable en cas de dommage causé par une violation du règlement.
  • Le sous-traitant est responsable s’il n’a pas respecté les obligations spécifiques aux sous-traitants ou s’il agit en dehors des directives données par le responsable de traitement dans le contrat liant les deux parties.

Enfin, chacune des parties peut s’exonérer de sa responsabilité si elle prouve que le fait à l’origine du dommage ne lui est aucunement imputable. De même, lorsqu’il y a plusieurs responsables de traitement ou sous-traitants, il existe une co-responsabilité chez chacun.

Vous avez maintenant les bases pour commencer votre mise en conformité avec le RGPD. 

Mais n’hésitez pas à nous contacter si vous souhaitez plus d’informations à ce sujet, voire un accompagnement juridique.

  

Où en êtes-vous de votre digitalisation ?

Agenda de l'entreprise

Inscrivez-vous