Le RGPD impose un encadrement précis de la relation contractuelle entre le sous-traitant et le responsable de traitement.
Pourtant, la réalité montre que de nombreux contrats, produits souvent à l'initiative des sous-traitants, se révèlent loin de la lettre et de l'esprit du règlement général sur la protection des données.
Ce n'est pourtant pas si compliqué. La 1ère étape consiste à identifier les traitements qui seront conduits par le sous-traitant, il s'agit simplement de les décrire : l'objet, la durée du traitement, sa nature, le type de données à caractère personnel, les obligations et les droits du responsable du traitement.
La 2ème étape, qui est de loin la plus importante contractuellement et la plus sensible à l'endroit du sous-traitant, consiste à mentionner scrupuleusement les obligations du sous-traitant. Il est rare que les contrats rédigés par les sous-traitants soient complets en termes d'obligation pour ces derniers, et l'on trouve assez souvent des clauses qui au mieux apparaissent comme des élucubrations, et au pire deviennent franchement léonines à force de vouloir contourner la Règle.
Rappelons quelles sont les obligations du sous-traitant qui doivent être mentionnées dans le contrat ou dans une charte de sous-traitance annexée au contrat de prestation :
Le sous-traitant ne peut traiter les données à caractère personnel que sur instruction documentée du responsable du traitement ;
Le sous-traitant doit informer le responsable du traitement de l'existence d'une obligation juridique de procéder à un transfert de données hors de l'union européenne avant le traitement. Cette obligation ne s'applique pas si le droit concerné interdit de telles informations pour des motifs important d'intérêt public ;
Le sous-traitant doit imposer au sous-traitant ultérieur les mêmes obligations que celles qui lui sont applicables en vertu du contrat qui le lie au responsable du traitement;
Le sous-traitant doit aider le responsable du traitement à s'acquitter de son obligation de faire suite aux demandes dont les personnes concernées le saisis en vue d'exercer leurs droits ;
Le sous-traitant aide le responsable du traitement à garantir le respect des obligations liées à la notification des violations de données et aux analyses d'impact ;
Le sous-traitant s'engage à supprimer, selon le choix du responsable du traitement, toutes les données ou les renvoyer au responsable du traitement au terme de la prestation de services relatifs au traitement ;
Le sous-traitant doit, au terme de la prestation de services relatifs au traitement, détruire les copies existantes, à moins que le droit de l'union ou le droit de l'État membre n'exige la conservation des données ;
Le sous-traitant doit mettre à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et pour permettre la réalisation d'audits ;
Le sous-traitant doit contribuer aux audits menés par le responsable du traitement.
Il y a fort à parier que les audits à venir qui seront menés auprès des sous-traitants révéleront de fortes disparités entre eux, du point de vue du respect des obligations contractuelles et règlementaires.