Avec la loi informatique et libertés du 6 janvier 1978, les sous-traitants, des entreprises traitant des données personnelles pour le compte d’une autre entreprise, ne pouvaient pas voir leur responsabilité directement engagée. Les sous-traitants se voyaient imposer des obligations au titre de leur contrat conclu avec le responsable de traitement, mais ils ne risquaient pas de sanction dû au non-respect de la loi sur la protection des données personnelles.
Mais avec le nouveau règlement européen sur la protection des données à caractère personnel du 27 avril 2016 (RGPD), la donne change pour les sous-traitants : leur responsabilité directe peut être engagée, c’est-à-dire que le règlement s’applique à eux, ils risquent alors des sanctions administratives en cas de non-respect de celui-ci et les personnes concernées par le traitement peuvent agir directement contre le sous-traitant.
Effectivement, la logique du règlement européen est de responsabiliser les acteurs intervenant dans le traitement des données personnelles. Ainsi, le sous-traitant qui est un de ces acteurs voit sa responsabilité s’accentuer et se rapprocher davantage de celle du responsable de traitement.
Le sous-traitant, tout comme le responsable de traitement, doit respecter les obligations concernant la sécurité et la confidentialité des données. De plus, il devra désigner, dans les mêmes conditions que le responsable de traitement, un délégué à la protection des données personnelles (DPO). Le sous-traitant doit aussi, dans certains cas, tenir un registre de tous les traitements qu’il effectue pour le compte du responsable de traitement. Par ailleurs, le règlement lui impose une obligation de conseil auprès du responsable de traitement afin notamment de l’aider à établir les analyses d’impacts sur la vie privée ou encore dans la notification des failles de sécurité.
De plus, le RGPD impose des clauses obligatoires dans le contrat entre le responsable et le sous-traitant qui permet de déterminer les responsabilités de chacun des acteurs vis-à-vis des personnes concernées par les données.
