Gérer sa relation avec les sous-traitants, c’est indispensable pour garantir la conformité RGPD de ses traitements de données personnelles. En tant que client, vous jouez en effet le rôle du responsable de traitement, ce qui implique de respecter plusieurs étapes : rigueur dans le choix de vos fournisseurs, signature d’un contrat, instructions écrites. On vous dit tout dans cet article.
Choisissez des sous-traitants aptes à respecter le RGPD
Externaliser une prestation de services, souscrire une licence d’utilisation d’un logiciel SaaS n’est pas une décision anodine. Une entité tierce sera en effet appelée à manipuler, exploiter des données à caractère personnel pour le compte de votre entreprise.
Or en tant que responsable de traitement, vous êtes comptable de la manière dont les données sont exploitées. Y compris par vos sous-traitants. La responsabilité ne se délègue pas.
Il est donc désormais essentiel que vos critères pour choisir un sous-traitant englobent son aptitude à respecter les obligations légales. Pour cela, vous allez :
- évaluer la maturité du sous-traitant, son expertise technique, son niveau de protection et de sécurité des données, ses ressources ;
- examiner dans le détail les mesures techniques et organisationnelles mises en place au travers de toute une documentation (politique de protection de la vie privée, contrats, politique de sécurité…). En cas de contrôle, la CNIL vous demandera ce type de documents.
Vous appuierez bien sûr pour cela sur votre Data Protection Officer (DPO).
Signez un contrat avec vos sous-traitants
Avant le RGPD, il y avait la loi Informatique et Libertés du 6 janvier 1978. Les sous-traitants devaient principalement garantir un haut niveau de sécurité des données qu’ils manipulaient pour leurs clients.
Le Règlement Européen renforce ces contraintes réglementaires. Cette situation nouvelle a d’ailleurs conduit la CNIL à produire en 2017 un guide pédagogique à destination des sous-traitants.
Vous signerez ensemble un document qui encadrera la prestation délivrée et l’utilisation des données.
Ce document peut prendre diverses formes :
- clauses de protection des données adossées à des conditions générales ou un contrat ;
- annexe relative à la protection des données personnelles ;
- contrat de protection des données (ou DPA – Data Processing Agreement).
Il décrit les caractéristiques du traitement. Et particulièrement :
- son objet, qui correspond aux prestations réalisées ;
- la durée de conservation des données collectées ;
- les types de données traitées et les catégories de personnes concernées (clients, prospects, collaborateurs…) ;
- les droits et obligations du responsable du traitement.
Le sous-traitant communique les données à une filiale ou un autre sous-traitant établi hors Union Européenne ? Des clauses contractuelles types seront ajoutées à l’ensemble contractuel. Il s’agit d’un texte standard, dont le modèle est fourni par la Commission Européenne et que les parties s’engagent à respecter pour sécuriser ce transfert de données.
Adressez des instructions écrites à vos sous-traitants
Le contrat constitue un support de base. Il sera complété par des instructions que vos équipes métiers adresseront aux services de votre prestataire.
En pratique, les échanges informels, oraux et téléphoniques, seront légion. Pourtant, il est important de les formaliser par écrit pour garantir la traçabilité du contrôle que vous exercez sur vos sous-traitants.
Ces instructions porteront par exemple sur les envois de fichiers, le transfert de données hors Union Européenne ou le recours à un nouveau sous-traitant.
En fin de contrat, c’est aussi vous qui déciderez de ce que le fournisseur doit faire de vos données :
- Vous les restituer ?
- Les supprimer, y compris toute copie ?
Quelles sont les obligations RGPD de vos sous-traitants ?
Le RGPD définit les obligations légales de vos sous-traitants. Le contrôleur européen à la protection des données les a précisées dans des lignes directrices, relatives aux concepts de responsable du traitement et de sous-traitant.
Quelles sont ces obligations ?
- N’agir que sur la base d’instructions fournies par son client ;
- Alerter le client en cas d’instructions non conformes à la réglementation ;
- N’autoriser l’accès aux données qu’aux membres du personnel ou à des prestataires en ayant besoin pour l’exécution du contrat. S’assurer que ces personnes sont soumises à une obligation légale ou contractuelle de confidentialité.
- Mettre en place les mesures appropriées au titre de l’obligation de sécurité. Votre entreprise imposera par des objectifs de sécurité à respecter. Le sous-traitant en définira le détail dans une politique de sécurité qui devra être tenue à disposition et même acceptée par son client. En cas de changement, cet accord devra être à nouveau sollicité.
- Obtenir l’accord du client pour tout changement, ajout ou suppression de sous-traitant. Cet accord pourra prendre la forme d’une autorisation préalable ou d’un droit d’émettre des objections pendant une période donnée après que votre fournisseur vous ait informé.
- Soumettre ces sous-traitants aux mêmes obligations de protection des données et de sécurité que celles lui incombant vis-à-vis du responsable de traitement. Dans tous les cas, le sous-traitant sera responsable des manquements de ses propres sous-traitants.
- Assister le responsable de traitement dans la prise en charge des demandes d’exercices de droit (accès, rectification, effacement…). Le fournisseur vous transmettra les requêtes qu’il reçoit en direct et collaborera avec vous pour leur bonne prise en compte.
- Assister le responsable de traitement dans l’accomplissement de ses propres obligations en matière de sécurité des données, de traitement des violations de données, de réalisation d’une étude d’impact DPIA-AIPD ou de consultation préalable de l’autorité de régulation.
- Mettre à la disposition de son client toutes informations nécessaires pour démontrer le respect des obligations légales et pour répondre à un audit. En tant qu’entreprise cliente, au-delà de la signature d’un contrat, vous devrez en effet pouvoir contrôler le respect dans les faits des obligations légales par vos sous-traitants.
Conclusion : Encadrez vos sous-traitants pour maîtriser votre conformité RGPD
Le contrôle de vos fournisseurs et prestataires implique de revoir vos processus à l’œuvre. Il s’agit à la fois :
- de prendre davantage en compte, pour l’avenir, la protection des données personnelles parmi les critères de choix des sous-traitants ;
- de revoir l’encadrement de votre parc de fournisseurs.
C’est indispensable, vous serez comptable des manquements réglementaires de vos fournisseurs, par exemple en cas de fuite de données. Le délégué à la protection des données jouera un rôle fondamental dans cette démarche.
Article rédigé par Maxime Jaillet