Article: Le RGPD et l’obligation des sous-traitants

Vous êtes sous-traitant, prestataire, fournisseur et votre client vous confie des prestations impliquant des données à caractère personnel ?

Avez-vous vérifié si à compter du 25 mai 2018 vous êtes tenu de mettre en place un registre des traitements de données personnelles ?

La règlementation européenne en matière de protection de données (« RGPD/GDPR ») impose aux sous-traitants de maintenir une documentation concernant les activités de traitement de données qu’ils mettent en œuvre pour le compte de chacun de leurs clients.

Quand faut-il tenir un registre des activités de traitement de données ?

En tant que sous-traitant, vous devez tenir un registre de vos activités de traitement lorsque vous remplissez l’une des conditions suivantes:

  • Vous avez plus de 250 employés
  • Ou
  • Vous mettez en œuvre des activités de traitement susceptibles de présenter un risque élevé pour les droits et les libertés des individus et,
  • Ces activités de traitement de données ne sont pas occasionnelles ou,
  • Vous mettez en œuvre des activités de traitement des données sensibles (par exemple, des données sur la santé, etc.) ou des données relatives aux condamnations pénales

Ce registre doit être fait par écrit, en ce compris de manière électronique. La documentation doit être mise à disposition de l’autorité de protection des données lorsqu’elle le demande.

NB: Il est tout à fait possible qu’un sous-traitant tienne 2 registres de traitement, un registre pour les traitements de données qu’il met en œuvre pour le compte de chacun de ses clients et un registre en tant que responsable pour les traitements de données qu’il met en œuvre pour son propre compte (par exemple, Gestion des ressources humaines, comptabilité etc.)

APM (Actecil Privacy Manager)

Le logiciel APM développé par ActeCil vous permet de gérer votre registre sous-traitant en plus de votre registre habituel.

Pour cela APM possède un module spécifique où vous pourrez réaliser simplement la cartographie de vos traitements sous-traitant conformément au RGPD et réaliser une extraction PDF/Word/Excel du registre.

APM liste tous les éléments qui doivent être contenus dans le registre du sous-traitant et simplifie leur remplissage:

  • Nom et coordonnées du Sous-traitant, de son client ainsi que du DPO (s’il a été désigné)
  • Catégories de traitements effectués pour le compte de chaque client
  • Information sur les éventuels transferts de données vers un pays hors UE
  • Description générale des mesures de sécurité techniques et organisationnelles mises en œuvre

Formation “Le RGPD et ses impacts sur la sous-traitance”

La formation Le RGPD et ses impacts sur la sous-traitance a pour objectif de permettre aux prestataires (éditeurs d’une solution Saas, hébergeurs de données etc.) traitant des données à caractère personnel pour le compte de leur client de comprendre et de savoir traduire en pratique les nouvelles obligations prévues par le Règlement européen.

Pour toute demande, contact@actecil.fr, ou depuis notre formulaire


accueil Blog Actu-CIL