Prestataires informatiques et traitements de données : les neuf points à connaître

Le Règlement Général sur la protection des données (RGPD) entraîne d’importants changements pour l’ensemble des acteurs, entreprises privées comme organismes publics, dont l’activité implique un traitement de données personnelles. Y compris pour les sous-traitants.

Par Nicolas Moreau, avocat associé, et Clotilde Biron, avocat, Brunswick Société d’Avocats

Parmi ses nouvelles dispositions, le Règlement opère une redéfinition totale du cadre juridique et contractuel applicable aux « sous-traitants », c’est-à-dire aux prestataires de services traitant des données personnelles pour le compte de l’entité responsable du traitement.

En pratique, sont donc concernés tous les prestataires intervenant dans la chaîne du traitement des données personnelles collectées par le responsable du traitement, tels que les prestataires de service en mode SaaS, les Data Management Platforms (DMP), les agences de Web marketing ou encore les hébergeurs chargés du stockage des données. Les dispositions du RGPD prennent également en compte le cas de la « sous-sous-traitance », pratique très courante aujourd’hui, dans la mesure où les prestataires Saas confient usuellement l’hébergement des données à des tiers.

La suite de cet article analyse les dix exigences du RGPD et leurs implications pour les entreprises.