You are currently viewing La sous-traitance de données à caractère personnel et ses conséquences

La sous-traitance est encadrée par les articles du Règlement Général sur la Protection des données (RGPD). Conformément à l’article 4 du RGPD, le sous-traitant est défini comme «la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement»

Autrement dit, le sous traitant est une personne qui traite des données personnelles pour le compte du responsable de traitement. Pour rappel, ce dernier est celui qui « détermine les finalités et les moyens du traitement ». 


Les obligations incombant au sous-traitant 

Selon l’article 28 du RGPD, une liste d’obligations est énumérée pour le sous-traitant. 

Parmi ces obligations se trouve :  « le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement » ; « le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement ». 

De plus, selon l’article 30-2 du RGPD, le sous-traitant doit tenir un registre de toutes les activités de traitement réalisées pour le compte du responsable de traitement. Cette obligation permet au sous-traitant et au responsable de traitement de démontrer leur conformité aux exigences du RGPD.  

Lors de l’établissement d’une relation de sous-traitance, les entreprises ou autres entités doivent inclure des clauses spécifiques relatives au RGPD dans leur contrat ou annexer une convention. Ainsi, leur relation contractuelle sera conforme au RGPD. 

Il convient de rédiger l’annexe ou la convention de manière lisible aux parties. Pour cela, le délégué à la protection des données peut accompagner les juristes d’entreprise à la rédaction de ces documents. 

Le sous-traitant, souvent appelé prestataire dans le monde du travail, doit être désigné avec extrême prudence. Il est, en effet, essentiel que le prestataire présente «des garanties suffisantes» concernant la mise en place des «mesures techniques et organisationnelles appropriées» pour assurer la protection des données personnelles qu’il reçoit ou collecte au nom du responsable de traitement. 

S’il ne présente pas ces garanties, les conséquences peuvent s’avérer graves pour le responsable de traitement. 

 

Fuite de données : exemple des Hospices Civils de Lyon en juin 2023

En juin 2023, les Hospices Civils de Lyon ont été victime d’une fuite de données suite à une cyberattaque. Cette cyberattaque s’est perpétrée sur une plateforme utilisée par l’un de leurs prestataires. 

L’attaque, menée par l’injection Structured Query Language (SQL), s’est propagée vers les serveurs des Hospices Civils de Lyon, entraînant la fuite de données comprenant des informations «d’identifications personnelles et professionnelles».   

Ils ont déposé une plainte le 16 juin 2023. 

Malgré l’incident, la structure victime a assuré que leur système informatique n’était pas affecté, qu’aucun dysfonctionnement interne n’était présent  et que les données des patients n’avaient pas été compromises.  

Cet incident souligne que tout organisme peut devenir une victime indirecte d’une attaque survenue chez un prestataire. 

Par conséquent, il est primordial pour toute entreprise ou organisme de s’assurer de la conformité de ses sous-traitants au RGPD.

Cependant, il est important de comprendre que la conformité au RGPD ne garantit pas l’immunité contre les cyberattaques.

Toutefois, elle permet d’assurer une traçabilité adéquate en cas de fuite de données, facilitant ainsi la réponse à l’incident et la répartition éventuelle des dommages.  

 

ALKIN Eda

Master 2 Cyberjustice 2022-2023

 

liens : 

https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article29

https://www.zdnet.fr/actualites/les-hospices-civils-de-lyon-victimes-d-une-fuite-de-donnees-apres-le-piratage-d-un-prestataire-39959994.htm


A propos de Eda Alkin