Vous confiez une mission à un prestataire ou utilisez un logiciel fourni par un éditeur ?
Dans ce cas, ce prestataire est considéré comme un « sous-traitant » au sens du RGPD.

+ Qu’est-ce qu’un sous-traitant ?

Un sous-traitant est toute personne physique ou morale, autorité publique, service ou autre organisme qui traite des données personnelles pour le compte du responsable de traitement.
En pratique, cela inclut par exemple :
- un prestataire de services informatiques qui héberge les données ;
- un éditeur de logiciel qui assure sa maintenance que vous utilisez pour collecter ou gérer des informations personnelles ;
- une société externe qui fournit une prestation impliquant le traitement de données personnelles

+ Pourquoi cette notion est importante ?

Le RGPD impose au responsable de traitement (l'UGA) de s’assurer que le sous-traitant respecte les mêmes exigences de sécurité et de confidentialité que celles qu’il applique lui-même.
Cela passe par l’inclusion de clauses contractuelles spécifiques dans les marchés et contrats : contacter la Mission DPO.

RAPPEL : Même pour un marché UGAP, l’ajout de ces clauses reste obligatoire et n’est pas inclus dans les documents contractuels standards.
RAPPEL : De la même manière, pour les cas hors marché (bons de commande...) : ces clauses doivent être signées !

Traitement de données avec des partenaires : responsabilité partagée ?

Lorsque la responsabilité de la mise en œuvre d’un traitement est partagée entre plusieurs acteurs, par exemple dans le cadre d’une convention avec un partenaire institutionnel, il est essentiel de clarifier les rôles et obligations de chacun. La Mission DPO vous accompagne dans la qualification des acteurs, n’hésitez pas à nous contacter.

Nous vous mettons également à disposition un contrat type, lorsqu’une responsabilité conjointe a été identifiée, qui a pour objectifs :
- d'identifier qui est responsable de quoi ;
- d'organiser la coordination entre les acteurs ;
- de garantir la conformité au RGPD tout au long du traitement des données.

Tout transfert de données personnelles vers un pays situé en dehors de l’Union européenne doit être encadré par des garanties de sécurité appropriées.
Ces précautions sont essentielles pour protéger la confidentialité des données et préserver la souveraineté des informations de l’établissement.

Pour tout projet de transfert :
1 : Vérifiez d’abord s’il existe une solution équivalente en France ou dans un autre État membre de l’UE. Si c’est le cas, privilégiez cette alternative.
2 : Si aucune alternative UE n’est possible, assurez-vous que le pays de destination offre un niveau de protection jugé adéquat pour la vie privée (plus d’infos sur le site de la CNIL).
3 : Si le pays n’est pas reconnu comme adéquat, vous devez mettre en œuvre des mesures contractuelles et des pratiques renforcées pour sécuriser le transfert.

Important : le passage par le service DPO est obligatoire pour tout projet de transfert hors UE vers un pays non reconnu comme adéquat.
Le DPO vous accompagne pour :
- Garantir la conformité du dispositif ;
- Réaliser l’analyse d’impact sur le transfert des données afin d’évaluer les risques.