RGPD : responsable de traitement et sous-traitant, les données personnelles au centre

RGPD - responsable de traitement et sous-traitant

Partager :

Dès 2016, le groupe Sigma a pris en main le vaste dossier RGPD. De la conception des services et produits (Privacy by design) jusqu’à leur mise en œuvre, les processus doivent prioriser la protection des données (Security by Default). Un certain nombre de responsabilités qui,  jusqu’alors ne concernaient que le responsable de traitement, s’appliquent désormais au sous-traitant. Avec la loi Informatique et libertés du 6 janvier 1978, les entreprises étaient dans un processus de déclaration et d’autorisation. Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, introduit un tout autre principe : l’Accountability. L’entreprise devient responsable des obligations posées par le Règlement. Elle doit pouvoir prouver, à l’autorité de contrôle (la CNIL, la Commission Informatique Nationale des Libertés), les mesures techniques et organisationnelles déployées pour respecter les règles de « Privacy by design » (protection des données dès la création) et de « Security by Default ». Des organisations comme les banques, par nature au cœur de la réglementation, abordent plus sereinement cette mise en conformité contrairement à des PME pour qui ce travail peut « être un vrai rouleau compresseur », reconnaît Mathieu , juriste au sein du Groupe Sigma. Pour celui-ci, les certifications (ISO 27001 notamment) et agréments (Hébergeur de données de santé) permettent déjà au Groupe Sigma de s’appuyer sur un haut niveau d’exigence préalable et une documentation existante.

Les différences de responsabilité s’estompent

Jusqu’en mai 2018, le responsable du traitement (Data controller) portait seul un certain nombre de responsabilités (tenue d’un registre s’il dispose déjà d’un Correspondant Informatique et Libertés, coopération avec l’autorité de contrôle, évaluation des risques pour chaque client…) qui incombent, avec le RGPD, également au sous-traitant. Le fonctionnement en réseaux des entreprises, avec des offres SaaS et Cloud, pose de façon induite la question des responsabilités en matière de traitement quant à la détermination des moyens pour le traitement et la protection des données personnelles. Le « pourquoi » et le « comment » de l’activité restent définis par le responsable de traitement. Dans sa politique de protection des données, il doit désormais vérifier les garanties suffisantes du sous-traitant relatives aux mesures de sécurité techniques et organisationnelles s’il fait appel à lui, tant en matière d’Accountability que de sécurité des données. « Il peut y avoir une co-responsabilité en cas de recours. Une société qui utilise un logiciel doit vérifier qu’il est adapté à ses exigences, par exemple pour effectuer une purge des données selon ses durées de conservation qu’elle s’impose. Au même titre, le sous-traitant qui s’occupe du traitement doit tout de même mettre en place le Privacy by design », explique Fabien Trouvé, responsable sécurité du système d’information (RSSI) chez Sigma.

Encadrement renforcé

Autres points : le RGPD fait grimper le niveau de protection. Responsable du traitement et sous-traitant sont liés par un contrat écrit dont les clauses sont imposées par la réglementation, mentionnant l’objet, la durée, la nature, les finalités, les types de data… Certains sous-traitants doivent, selon leur activité, avoir leur responsable protection de la donnée (DPO) pour contrôler la bonne application du RGPD. C’est le choix du Groupe Sigma (1) qui traite à grande échelle des données personnelles et sensibles.

Tenue d’un registre des activités

La traçabilité du traitement de données n’est plus seulement l’affaire du responsable du traitement mais aussi du sous-traitant. Ce dernier doit tenir à jour un nouveau registre décrivant les données stockées, les types de traitements réalisés au nom et pour le compte du sous-traitant. Ce registre constitue le véritable noyau dur du traitement de la donnée. Les opérations et le circuit des flux de données sont alors connus dans les moindres détails. Analyses d’impact sur la vie privée, sécurité… l’assistance des clients est nécessaire depuis mai 2018. Le Groupe Sigma déploie des formations collaborateurs depuis mars 2018.

Coopération avec l’autorité de contrôle

Concrètement, le RGPD responsabilise tous les acteurs de la chaîne de protection de la donnée et non plus seulement le chef d’orchestre. En cas de manquement (rappelons que les amendes pour les organisations peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent), le sous-traitant peut être sanctionné. Charge à lui de notifier le plus rapidement possible toute violation des données…
(1) Le Groupe Sigma a la double casquette : responsable du traitement pour ses besoins internes (logiciel RH, CRM, etc.) et sous-traitant pour ses activités de prestataire de services numériques et d’infogéreur.

Dernières ACTUALITÉS