Le principe de responsabilité (voir “Principe de responsabilité” dans la partie II section “Principes” des présentes lignes directrices) est également présent lorsqu’un responsable du traitement choisit de faire appel aux services d’un sous-traitant. À cet égard, l’article 28, paragraphe 1, du RGPD^[1] exige que les responsables du traitement prennent certaines mesures de diligence raisonnable, avant de donner aux sous-traitants l’accès à des données à caractère personnel pour l’exécution d’activités de traitement des données. Comme pour les autres dispositions du RGPD, il n’est pas précisé quelles actions spécifiques un responsable du traitement doit mener lors de l’évaluation des sous-traitants. Le seul critère fourni par le RGPD est que les responsables du traitement doivent juger les sous-traitants sur la base de leur capacité à démontrer qu’ils peuvent effectuer des activités de traitement en conformité avec le RGPD.

Les responsables du traitement doivent toujours garder à l’esprit que le développement d’outils de localisation implique souvent l’utilisation de différents ensembles de données. Les registres doivent garantir la traçabilité du traitement, les informations sur la réutilisation éventuelle des données et l’utilisation de données appartenant à des ensembles de données différents dans les mêmes, ou différentes, étapes du cycle de vie.

Si les responsables du traitement mènent un développement qui nécessite de compter sur un tiers pour certaines activités de traitement, ils doivent se poser deux questions : (1) quel type de comportement est attendu pour démontrer le respect de cette obligation ; et (2), si une certaine forme d’action positive est attendue, comment les responsables du traitement doivent-ils procéder pour mener à bien cette diligence raisonnable ?

Pour la première question, le RGPD indique que si les responsables du traitement entendent rester en conformité avec le RGPD, ils ne peuvent retenir qu’un sous-traitant capable de démontrer sa conformité avec le RGPD. Par conséquent, les responsables du traitement doivent demander des informations pour l’évaluer. En d’autres termes, le RGPD attend des responsables du traitement qu’ils interrogent activement leur sous-traitant potentiel à ce sujet ; il ne suffit pas de s’appuyer sur une clause de déclaration et de garantie dans l’accord de traitement des données (voir “Intégrité et confidentialité” dans la section “Principes” de la partie II des présentes lignes directrices). Pour s’en assurer, les responsables du traitement peuvent envoyer des questionnaires à tous les sous-traitants ou demander à ces derniers de prouver qu’ils ont passé un audit externe. En outre, les responsables du traitement peuvent ajouter une clause contractuelle d’audit permettant au responsable du traitement de procéder lui-même à un audit d’un sous-traitant si des preuves supplémentaires sont nécessaires.

Quant à la manière dont les responsables du traitement doivent effectuer cette diligence raisonnable, là encore le RGPD ne fournit pas de points concrets à analyser. Néanmoins, certaines autorités de contrôle nationales ont proposé des sujets à prendre en compte, comme le fait de savoir si le sous-traitant suit les normes du secteur, de demander la fourniture d’informations tant juridiques que techniques sur la manière dont le sous-traitant traite les données à caractère personnel, s’il adhère à un code de conduite ou s’il a suivi un programme de certification. ^[2]

Outre ces considérations générales, et selon la manière dont le traitement demandé par ce tiers s’intègre dans le cadre de l’outil développé, d’autres questions doivent être posées. A cet égard, toute question que les responsables du traitement se poseraient lors du développement de l’outil devrait être posée au sous-traitant. Nous nous en remettons aux questions posées dans la liste de contrôle incluse dans l’encadré ci-dessous pour plus d’indications.

Liste de contrôle : diligence raisonnable du sous-traitant  Si le traitement implique un transfert international de données, les responsables du traitement ont obtenu des informations concernant le lieu où les activités de traitement des données auront lieu et (1) ont procédé à l’examen de la jurisprudence suggéré au point ci-dessous ; et (2) ont évalué si les juridictions, dans le cas de pays non membres de l’UE, sont considérées comme adéquates par la Commission européenne.  Les responsables du traitement ont examiné la jurisprudence des autorités de contrôle nationales où le sous-traitant opère afin de vérifier les sanctions potentielles.  Les responsables du traitementont exigé la preuve de l’adhésion à un code de conduite ou à une certification (ceci n’est pas strictement nécessaire mais peut être considéré comme une bonne pratique).  Les responsables du traitementont exigé la preuve d’une certification ISO pertinente (ceci n’est pas strictement nécessaire mais peut être considéré comme une bonne pratique).  Si un sous-traitant est impliqué, les responsables du traitementdoivent obtenir une copie des registres des activités de traitement.  Les responsables du traitementse sont enquis du processus de développement de l’outil, en particulier du type de données utilisées pour la formation de l’outil et des données dont il a besoin pour fonctionner et fournir un résultat utile.

 

1. “Article 28 Sous-traitant 1. “Lorsque le traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci ne fait appel qu’à des sous-traitants présentant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de telle sorte que le traitement réponde aux exigences du présent règlement et assure la protection des droits de la personne concernée.” ↑
2. ICO (aucune date) Guide du Règlement général sur la protection des données (RGPD), Quelles sont les responsabilités et les obligations des responsables du traitement lorsqu’ils font appel à un sous-traitant ? Information Commissioner’s Office, Wilmslow. Disponible à l’adresse : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/contracts-and-liabilities-between-controllers-and-processors-multi/responsibilities-and-liabilities-for-controllers-using-a-processor/ (consulté le 20 mai 2020). ↑