UXDE dot Net Wordpress Themes

Compte-rendu de la conférence (thème 2) du « Cycle de petits déjeuners RGPD » organisé par Gide Loyrette Nouel

Le cabinet d’avocats Gide Loyrette Nouel nous a reçu le mercredi 7 février 2018 à son bureau parisien dans le cadre du « Cycle de petits déjeuners RGPD ». Ce cycle de conférence est organisé notamment à destination des professionnels pour qu’ils puissent appréhender l’entrée en application du Règlement Général sur la Protection des Données (RGPD) au 25 mai 2018.

Plusieurs conférences sont organisées portant sur différents thèmes abordés autour d’un petit déjeuner. La conférence du 7 février portait sur le thème « La sous-traitance du traitement de données personnelles » et était animée par Maître Thierry Dor, avocat associé et Maître Aurélie Pacaud, avocat collaborateur.

Nous vous présenterons donc dans cet article notre compte-rendu de conférence rédigé par les étudiants du Master II Droit du Multimédia et de l’Informatique.

La notion de sous-traitants est abordée à l’article 28 du RGPD. Cette notion est née avec la Directive n°95/46 du 24 octobre 1995 afin d’éviter que le recours à des sous-traitants soit synonyme d’affaiblissement de la protection des données à caractère personnel.

Aujourd’hui, il était impératif de modifier le régime applicable aux sous-traitants afin de garantir aux personnes une protection des données adéquate. Le RGPD fait en effet émerger un nouveau régime du sous-traitant qui sera étudié dans ce compte-rendu.

Il convient de souligner dès lors les premiers obstacles à la mise en oeuvre de ce nouveau régime. Les sous-traitants sont souvent des acteurs majeurs du marché de la donnée et dispose souvent d’un poids plus important dans les négociations contractuelles avec le responsable de traitement. Ils devront quoiqu’il en soit se mettre en conformité au RGPD.
Les intervenants mettent également en garde les participants sur la notion de « co-responsable de traitement » (article 26 RGPD). Cette qualité suppose une détermination conjointe des finalités et des moyens de traitement, et correspond donc à très peu d’hypothèses.

Qualification de la qualité de sous-traitant

Afin de qualifier la qualité de sous-traitant, il convient donc de se référer à un faisceau d’indices : quel est le niveau d’instruction, le niveau de contrôle, de transparence et d’expertise de l’acteur en question ?

Obligations du sous-traitant

Ses obligations sont principalement contenues à l’article 28 RGPD.
Audit et code de conduite : le sous-traitant doit notamment effectuer un/des audit(s) sur le traitement des données à caractère personnel et établir un code de conduite. Il est également recommandé d’obtenir un certification CNIL de conformité (normes qui n’est pas encore mise en place mais prévu par les articles 40 et 42 du RGPD).

Clause contractuelle de sous-traitance : obligation de conclure un contrat relatif au traitement de données à caractère personnel, la rédaction de ces clauses est fortement régulée par le RGPD (article 28). Ces clauses étant particulièrement longues, il est recommandé de recourir à des annexes.

Elle doit par exemple contenir des mentions relatives à :

  • l’obligation d’information quant au transfert de données personnel (information du responsable de traitement)
  • l’obligation de confidentialité qui nécessite par exemple l’établissement d’une Charte salariés sur le traitement des données à caractère personnel
  • les conditions de recrutement d’un autre sous-traitant
  • l’obligation de sécurité (article 35 RGPD)
  • l’obligation de donner suite aux demandes des personnes dont les données sont traitées
  • l’obligation de respecter l’exercice des droits des personnes (demande de suppression, portabilité des données).
  • l’obligation de collaboration sur la réalisation d‘audits : il est recommandé pour les sous-traitants d’avoir pré-établi la documentation pour réaliser l’audit, les conditions de l’audit peuvent être négociées entre le responsable de traitement et le sous-traitant

Obligation du sous-traitant : le sous-traitant doit :

  • tenir un registre (article 30-2 RGPD)
  • désigner un DPO dans les conditions requises de l’article 37 RGPD
  • informer le responsable de traitement en cas de violation du RGPD dans le cadre du traitement de données

Responsabilité du sous-traitant

Le sous-traitant, et c’est une nouveauté du RGPD, sera solidairement responsable avec le responsable de traitement en cas de violation du RGPD par le traitement (article 82 RGPD). Il peut donc être soumis aux mêmes sanctions prévues par le RGPD : 4M€ ou 10% du chiffre d’affaire de sanction administrative.

Recommandations et remarques

Les intervenants ont alerté les participants sur les risques de re-qualification de la qualité de sous-traitant, il convient alors de qualifier justement, dès l’origine, la qualité de l’acteur en cause afin de lui appliquer le régime adapté. Ainsi, un sous-traitant dans le cadre de son activité sera toujours responsable de traitement des données de ses salariés. Il conviendra alors d’établir les règles relatives à ces deux régimes au sein d’une même structure.

Les sous-traitants doivent également être au fait des autres réglementations en vigueur qui peuvent leur être opposées : en matière de données de santé ou données bancaires par exemple.

En matière contractuelle, les contrats devront être naturellement mis à jour par avenants. Enfin, il est recommandé aux acteurs des traitements de données personnelles d’utiliser les certifications alternatives en attendant le certificat de la CNIL.

Cette conférence fut l’occasion d’approfondir les connaissances des étudiants quant à la mise en oeuvre du régime applicable au sous-traitant de données personnelles. Elle a également permis aux étudiants de la promotion 2018 de rencontrer les professionnels du milieu et d’envisager une approche plus pratique du RGPD.

Les étudiants de la promotion 2018 du Master II DMI remercient ainsi chaleureusement Maître Thierry DOR, Maître Aurélie PACAUD et l’équipe TMT du cabinet d’avocats Gide Loyrette Nouel de les avoir accueilli dans le cadre de ce cycle de conférences RGPD.

Vous pouvez suivre les différentes actualités de la promotion 2018 sur sa page Facebook, son Twitter et n’hésitez pas à ajouter le Master II DMI sur LinkedIn.

Julie B.

By les étudiants du M2 ASSAS DMI|Website|Other Articles

Laissez une réponse

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>