GDPR toolkit

09

Sous-traitants et les responsables conjoints du traitement.

Faites-vous parfois appel à des tiers pour le traitement des données personnelles ?

Ce que vous devez savoir.

Certains fournisseurs utiliseront les données personnelles de vos clients, employés,… pour fournir des services à votre entreprise. Ainsi, vous pouvez par exemple faire appel à un secrétariat social pour l’administration du personnel ou à une agence marketing pour le développement et l’envoi de newsletters électroniques. Lorsque ces fournisseurs traitent des données à caractère personnelle uniquement pour votre entreprise, ils sont qualifiés comme des « sous-traitants » au sens du GDPR. Peut-être que votre entreprise agit elle-même comme sous-traitant d’autres entreprises? 

Des entreprises peuvent également traiter ensemble des données à caractère personnel pour des finalités spécifiques. À titre d’exemple, on peut penser à une base de données utilisée par un groupe d’entreprises dans laquelle les données de tous les employés des différentes entreprises du groupe sont reprises. Lorsque différentes sociétés dans un groupe décident conjointement de la manière dont la base de données est utilisée (p.ex. quelles données des employés sont téléchargées, combien de temps sont-elles enregistrées et qui peut les consulter), elles sont considérées comme « responsables conjoints du traitement ».

Ce que vous devez faire d’ici au 25 mai 2018.

Il est important d’identifier et de qualifier les entreprises qui traitent les données à caractère personnel de vos clients, de vos employés, … en tant que sous-traitant ou responsable conjoints du traitement. Si ces entreprises utilisent des données à caractère personnel pour leur propre compte, elles sont, tout comme votre entreprise, des responsables (individuels) du traitement. Vérifiez également dans quels cas votre entreprise agirait comme sous-traitant. D’autres obligations s’appliquent en effet pour les sous-traitants que pour les responsables.

Ensuite, vous devez conclure un contrat avec les sous-traitants que vous avez identifiés. Dans ce contrat doivent figurer à minima toute une série de dispositions prescrites par le GDPR.

Les responsables conjoints du traitement doivent également être liée par contrat. Les responsabilités respectives pour garantir le respect des obligations du GDPR doivent y être définies (par exemple la manière dont les personnes dont les données personnelles sont traitées seront informées du traitement en question).

Pour plus de détails ou toutes questions, nous vous invitons à consulter notre site web ou à contacter notre équipe :