5 erreurs à éviter face à votre sous-traitant

LinkedIn

Dans un monde où nous essayons tous de simplifier nos tâches, il est naturel que vous essayiez d'utiliser un prestataire externe pour alléger vos opérations de RH. Mais n'oubliez pas que, dans le cadre du régime RGPD, lorsqu'un RH fait appel à un prestataire de services externe (un consultant, un comptable, un logiciel, une plateforme en ligne, etc.), un certain nombre de questions doivent être traitées en intégrant une série de mesures obligatoires et de nombreuses erreurs doivent êtres évitées.

En bref, il faut trouver ces prestataires de services et se préparer à co-construire et à adapter leur intervention. Vos prestataires externes s'y attendront très probablement. Gardez à l'esprit que l'ancienne approche "signer un contrat et l'oublier" est obsolète. 

Aujourd'hui, nous vous alertons sur les 5 grandes erreurs que vous pouvez commettre dans vos relations avec vos prestataires de services externes, que ce soit en continuant à travailler avec eux ou en en engageant un nouveau.

1. Attendre que votre prestataire de services externe vous dise ce qu'il fait.

C'est la TOUTE PREMIÈRE erreur à éviter. Lorsque vous faites appel à un prestataire de services externe pour effectuer une tâche qui implique des données personnelles, par exemple la présélection de candidats, le traitement des salaires, un logiciel pour traiter les dossiers de tous vos employés, vous êtes le principal responsable dans cette histoire. En ce qui concerne le RGPD, vous agissez en tant que responsable du traitement des données et vous avez la responsabilité principale d'encadrer l'activité de votre prestataire externe pour vous assurer qu'il dispose des outils adéquats de protection des données. 

Organisez donc une réunion avec vos prestataires de services et posez-leur ces questions :

  1. Qu'est-ce qu'ils ont fait ou prévoient de faire, pour se conformer au RGPD ?
  2. Comment s'assurent-ils que leurs propres sous-traitants sont conformes ?
  3. Quels sont les outils qu'ils proposent pour que votre entreprise reste conforme ?
  4. Ont-ils mis en place des politiques claires en matière de protection des données personnelles ? Et demandez-leur de les revoir.

Cela vous fera perdre 3h de votre emploi du temps aujourd'hui, mais vous épargnera des jours précieux au cas où vous devriez subir un contrôle de la CNIL en raison d'une défaillance de ce prestataire.

2 - Ne pas s'intéresser aux mesures de sécurité appliquées

C'est un énorme échec. Tout ce que nous faisons dans le cadre du RGPD est de sécuriser les données personnelles pendant leur traitement. Cela semble bien de disposer de toute la documentation nécessaire, mais s'il n'y a pas de mesures techniques appropriées pour protéger les données personnelles contre la destruction ou la perte accidentelle ou illégale, l'altération, la divulgation ou l'accès non autorisés, tout le travail que nous faisons n'aura aucun sens.

Le minimum que vous puissiez faire est de vous assurer que votre prestataire externe pour les ressources humaines:

  1. se charge de l'élimination de tout déchet papier et électronique;
  2. utilise un pare-feu pour sécuriser la connexion internet;
  3. choisisse les paramètres les plus sûrs pour ses appareils et ses logiciels;
  4. contrôle qui a accès à leurs données et appareils;
  5. se protège contre les virus et autres logiciels malveillants;
  6. maintiens ses appareils et logiciels à jour;
  7. assure une coordination efficace avec les personnes clés de votre organisation;
  8. utilise un accès protégé et approprié aux locaux ou aux équipements (par exemple lors de la maintenance informatique);
  9. prévois des dispositions pour assurer la continuité de ses activités en précisant comment il protégera et récupérera les données personnelles qu'il détient;
  10. effectue des contrôles périodiques pour s'assurer que leurs mesures de sécurité restent appropriées et à jour.

3 - Ne pas savoir avec qui ils partagent ou à qui ils transfèrent les données que vous leur fournissez

Ce n'est pas parce qu'ils vous simplifient la tâche que vous devriez les laisser faire ce qu'ils veulent, surtout lorsqu'il s'agit de partager les données qu'ils reçoivent grâce à votre sous-traitance. Le RGPD interdit tout transfert de données personnelles par un sous-traitant, sans avoir reçu votre autorisation explicite écrite, qu'il s'agisse de transferts au sein de l'Union européenne ou en dehors de celle-ci. Vous devez conserver votre droit de contrôle et accepter ou refuser les éventuels sous-traitants de votre prestataire. Et lorsqu'ils vous demandent l'autorisation, ne donnez pas avec les yeux fermés. Il existe une grille de critères à vérifier et, lorsque tout semble être en règle en matière de protection des données personnelles, vous êtes le seul à pouvoir autoriser un tel transfert, car finalement, vous êtes responsable, par ricochet, de ce qu'ils font.

4 - Ne pas savoir en quoi consiste la contractualisation

Tout partenariat commercial dure longtemps lorsque vous avez contracté le service que vous recevez en respectant la structure des règles qui le régissent. Il en va de même lorsqu'il s'agit de sous-traiter vos tâches en matière de ressources humaines. Rédigez un contrat et incluez les sections qui régissent le traitement des données personnelles, ou au moins lisez les CGV en vous assurant qu'il existe une section traitant des aspects de :

  1. l'objet du traitement ;
  2. la durée du traitement ;
  3. la nature et la finalité du traitement ;
  4. le type de données à caractère personnel concernées ;
  5. les catégories de personnes concernées ;
  6. les obligations et les droits du responsable du traitement et du sous-traitant.

Au titre des obligations et des droits, n'oubliez pas d'inclure, au minimum, des procédures efficaces comme :

  1. la fourniture d'instructions sur la manière de traiter les données en votre nom
  2. l'engagement de nouveaux sous-traitants.
  3. le traitement des demandes de droits sur les données
  4. la réaction en cas de violation de données personnelles.
  5. l'assistance lors des contrôles de la CNIL
  6. la récupération des données en fin de contrat

5 - Négliger toute vérification périodique de votre prestataire

En tant que responsable du traitement, vous devez constamment veiller à ce que le traitement se déroule comme prévu. Demandez à votre prestataire externe de vous donner accès à la partie du registre qui explique le traitement pour lequel vous l'avez engagé. C'est sur cette base que la description du traitement dans votre registre sera élaborée. Si vous le pouvez, demandez-lui d'attester de temps en temps la bonne application de toutes les règles. Cela vous aidera en cas de contrôle par la CNIL.

Si vous voulez ne plus reproduire ces erreurs et être accompagné dans cette démarche par nos juristes, vous pouvez commencer par une démonstration gratuite de notre outil.