Les sous-traitants des collectivités au sens du RGPD

Dernière mise à jour : 7 déc. 2021

Bien que le règlement général sur la protection des données (RGPD) soit entré en vigueur le 25 mai 2018, la notion de sous-traitant demeure souvent incertaine aux yeux des collectivités. Décryptage de cette notion.


Le RGPD définit le sous-traitant comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Cette notion de sous-traitant au sens du RGPD s’apparente à celle de prestataire (ou titulaire) dans le cadre d’un marché public.

Le RGPD définit le sous-traitant comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Quelles relations avec le responsable de traitement ?

Le RGPD définit le responsable de traitement (RT) comme « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement […] » de données personnelles.

En pratique, le responsable de traitement est la collectivité territoriale incarnée par son représentant légal, le maire.

À titre d’exemple, une collectivité peut choisir de faire appel à une société externe pour effectuer la maintenance de son matériel informatique. Au cours de cette activité de maintenance, la société traitera de données à caractère personnel pour le compte de la collectivité, elle sera donc son sous-traitant au sens du RGPD. Il peut s’agir également des intégrateurs de logiciels ou des sociétés de sécurité informatique.

Quelles obligations pour les sous-traitants ?

Les sous-traitants sont soumis à différentes obligations détaillées au sein du RGPD.

Les obligations sont notamment les suivantes :

- Transparence et traçabilité :

• le sous-traitant doit tenir un registre qui recense les traitements effectués pour le compte du responsable de traitement, avec les instructions de ce dernier. Ce registre est conservé par le sous-traitant et mis à disposition du responsable de traitement sur simple demande ;

• le sous-traitant doit demander l’autorisation au responsable de traitement s’il souhaite lui-même faire appel à un sous-traitant ;

• le sous-traitant doit mettre à disposition du responsable de traitement toutes les informations nécessaires (notamment le registre de traitement) pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits ;

- Garantie de la sécurité du traitement des données (mesures techniques et organisationnelles appropriées) ;

- Assistance, alerte et conseil envers le responsable de traitement (par exemple en cas de violation de données à caractère personnel).

Ces obligations doivent être mentionnées au sein d’une clause insérée dans le contrat de sous-traitance. Cette clause doit être ajoutée par le biais d’un avenant pour les contrats en cours, y compris pour les marchés publics conclus avec des sous-traitants.

Vous souhaitez vous mettre en conformité RGPD, faire un état des lieux de votre collectivité, Pédagofiche vous accompagne et met à votre disposition tout un panel de produits et services afin de satisfaire vos obligations en termes de législation sur la protection des données.

Pour plus d’informations, vous pouvez contacter notre équipe commerciale :

Lucile De Jesus

Assistante commerciale

04.70.96.51.43

Marina Tinet

Assistante commerciale

04.73.60.59.93

Entré en vigueur le 25 août 2018, le RGPD va devoir être mis en place au sein de toutes les collectivités. Nous pouvons vous apporter notre aide avec des solutions adaptées à vos besoins.

Profitez de notre offre promotionnelle pack duo livret pratique du RGPD + livret pratique de la cybersécurité : https://www.mairiexpertactu.fr/boutique/livrets-pratiques/144-cybersecurite-livret-maj.html Nous restons à votre disposition par téléphone au 04 73 60 59 93 ou par mail à commercial@mairiexpert.fr

Source :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, articles 4 et 28

(Règlement Général sur la Protection des Données)

4 vues