Droit en Poche - RGPD : la protection des données à caractère personnel - 5e - 57

■	Privacy by design et Privacy by default
Au titre de l'article 25 du RGPD, cette obligation incombe formellement
au responsable du traitement et non au sous-traitant (v. Fiche 2). Toutefois,
le sous-traitant via les solutions qu'il propose et qu'il commercialise
concourt directement au respect de ces principes.
Un sous-traitant aura également la qualité de responsable de traitement
pour les traitements qu'il met en œuvre pour son propre
compte (par exemple en matière de gestion des ressources humaines,
de comptabilité, etc.). Il devra, à ce titre, respecter l'ensemble
des obligations inhérentes à cette qualité, en plus de celles
relatives à sa qualité de sous-traitant. Cette contrainte implique
donc de bien distinguer les opérations relevant de chaque statut.
Dans le cadre de sa relation avec un responsable
du traitement
■	La notification des violations de données
La notification des violations de données est une obligation incombant
au responsable du traitement. Toutefois, ce type d'incident
peut intervenir chez un sous-traitant. Ce dernier devra alors en
informer le responsable du traitement « dans les meilleurs délais »
(art. 33, 2). Dans son projet de lignes directrices sur les concepts de
responsable de traitement et de sous-traitant (07/2020), le CEPD
précise que ce délai doit être stipulé en heures.
En pratique, une violation de données intervenant chez un prestataire
pourrait impacter plusieurs clients en même temps. Le soustraitant
devra donc être en mesure d'identifier les responsables de
traitement concernés et de les informer simultanément.
■	L'obligation d'assurer la sécurité et la confidentialité
des données
Le sous-traitant « prend toutes les mesures requises en vertu de
l'article 32 » du RGPD pour garantir un niveau de sécurité adaptée
aux risques présentés par le traitement. Il doit également s'assurer
que ses employés et prestataires sont soumis à un engagement de
confidentialité.
■	Le recours à un sous-traitant de second rang
Un sous-traitant a la possibilité d'avoir lui-même recours à un
sous-traitant pour tout ou partie de la prestation qui lui est confiée
par un responsable du traitement (par exemple un hébergeur de
données). Pour se faire, il doit disposer d'une autorisation écrite
du responsable du traitement, générale ou spécifique (à
une opération en particulier). Cette autorisation doit être formalisée
dans le contrat et, le cas échéant, être actualisée.
■	L'obligation de conseiller le responsable du traitement
L'article 28, 3, h) dispose que « le sous-traitant informe immédiatement
le responsable du traitement si, selon lui, une instruction
constitue une violation du présent règlement ou d'autres dispositions
du droit de l'Union ou du droit des États membres relatives
à la protection des données ». Il devra donc apprécier la légalité
RGPD : la protection des données à caractère personnel
Droit en Poche - RGPD : la protection des données à caractère personnel - 5e

Table des matières de la publication Droit en Poche - RGPD : la protection des données à caractère personnel - 5e
