5 erreurs RGPD à éviter face à vos sous-traitants

LinkedIn
5 erreurs RGPD à éviter face à vos sous-traitants

  1. Attendre que votre sous-traitant vous dise ce qu'il fait
  2. Ne pas s'intéresser aux mesures de sécurité appliquées par votre sous-traitant
  3. Ne pas s'intéresser aux mesures de sécurité appliquées par votre sous-traitant
  4. Ne pas maîtriser les clauses relatives à la protection des données personnelles
  5. Négliger toute vérification périodique de votre sous-traitant

Contexte :

Il est très commun d'utiliser un prestataire externe pour alléger vos opérations. Mais dans le cadre du régime RGPD, faire appel à un prestataire de services externe (consultant, comptable, logiciel, plateforme en ligne, etc.), exige pour votre organisation, de de s'interroger sur différents points et d'intégrer une série de mesures obligatoires. Il pourrait s'agir notamment d'un prestataire RH. Sur ce point précis, nous vous conseillons le lire notre article sur les 7 erreurs RH en matière de RGPD.

En bref, il faut se préparer à co-construire et à adapter l'intervention des prestataires externes. Gardez à l'esprit que l'ancienne approche "signer un contrat et l'oublier" est obsolète. Dans cet article, nous vous alertons sur les 5 grandes erreurs RGPD que vous pouvez commettre dans vos relations avec vos prestataires de services externes, que ce soit en continuant à travailler avec eux ou en en engageant un nouveau.

Attendre que votre sous-traitant vous dise ce qu'il fait (première erreur)

C'est la TOUTE PREMIÈRE erreur à éviter. Lorsque vous faites appel à un prestataire de services externe pour effectuer une tâche qui implique des données personnelles, par exemple la présélection de candidats, le traitement des salaires, un logiciel pour traiter les dossiers de tous vos employés, vous êtes le principal responsable dans cette histoire.

En ce qui concerne le RGPD, vous agissez en tant que responsable du traitement des données et vous avez la responsabilité principale d'encadrer l'activité de votre prestataire externe pour vous assurer qu'il dispose des outils adéquats de protection des données. 

Organisez donc une réunion avec vos prestataires de services et posez-leur ces questions :

  1. Qu'est-ce qu'ils ont fait ou prévoient de faire, pour se conformer au RGPD ?
  2. Comment s'assurent-ils que leurs propres sous-traitants sont conformes ?
  3. Quels sont les outils qu'ils proposent pour que votre entreprise reste conforme ?
  4. Ont-ils mis en place des politiques claires en matière de protection des données personnelles ? Et demandez-leur de les revoir.

Cela vous fera perdre 3h de votre emploi du temps aujourd'hui, mais vous épargnera des jours précieux en cas de contrôle de la CNIL en raison d'une défaillance de ce prestataire.

Ne pas s'intéresser aux mesures de sécurité appliquées par votre sous-traitant

C'est un énorme échec. Tout ce que nous faisons dans le cadre du RGPD est de sécuriser les données personnelles pendant leur traitement. Cela semble bien de disposer de toute la documentation nécessaire, mais s'il n'y a pas de mesures techniques appropriées pour protéger les données personnelles contre la destruction ou la perte accidentelle ou illégale, l'altération, la divulgation ou l'accès non autorisés, tout le travail que nous faisons n'aura aucun sens.

Le minimum que vous puissiez faire est de vous assurer que votre prestataire externe :

  1. se charge de l'élimination de tout déchet papier et électronique;
  2. utilise un pare-feu pour sécuriser la connexion internet;
  3. choisisse les paramètres les plus sûrs pour ses appareils et ses logiciels;
  4. contrôle qui a accès à leurs données et appareils;
  5. se protège contre les virus et autres logiciels malveillants;
  6. maintienne ses appareils et logiciels à jour;
  7. assure une coordination efficace avec les personnes clés de votre organisation;
  8. utilise un accès protégé et approprié aux locaux ou aux équipements (par exemple lors de la maintenance informatique);
  9. prévoie des dispositions pour assurer la continuité de ses activités en précisant comment il protégera et récupérera les données personnelles qu'il détient;
  10. effectue des contrôles périodiques pour s'assurer que leurs mesures de sécurité restent appropriées et à jour.

Ne pas savoir à qui votre sous-traitant partage ou transfère les données que vous fournissez

Ce n'est pas parce qu'ils vous simplifient la tâche que vous devriez les laisser faire ce qu'ils veulent, surtout lorsqu'il s'agit de partager les données qu'ils reçoivent grâce à votre sous-traitance.

Le RGPD interdit tout transfert de données personnelles par un sous-traitant, sans avoir reçu votre autorisation explicite écrite, qu'il s'agisse de transferts au sein de l'Union européenne ou en dehors de celle-ci. Vous devez conserver votre droit de contrôle et accepter ou refuser les éventuels sous-traitants de votre prestataire. Et lorsqu'ils vous demandent l'autorisation, ne donnez pas avec les yeux fermés.

Il existe une grille de critères à vérifier et, lorsque tout semble être en règle en matière de protection des données personnelles, vous êtes le seul à pouvoir autoriser un tel transfert, car vous êtes responsable, par ricochet, de ce qu'ils font.

Ne pas maîtriser les clauses relatives à la protection des données personnelles

Tout partenariat commercial dure longtemps lorsque vous avez contracté le service que vous recevez en respectant la structure des règles qui le régissent. Il en va de même lorsqu'il s'agit de sous-traiter vos tâches. Rédigez un contrat et incluez les sections qui régissent le traitement des données personnelles, ou au moins lisez les CGV en vous assurant qu'il existe une section traitant des aspects de :

  1. l'objet du traitement ;
  2. la durée du traitement ;
  3. la nature et la finalité du traitement ;
  4. le type de données à caractère personnel concernées ;
  5. les catégories de personnes concernées ;
  6. les obligations et les droits du responsable du traitement et du sous-traitant.

Au titre des obligations et des droits, n'oubliez pas d'inclure, au minimum, des procédures efficaces comme :

  1. la fourniture d'instructions sur la manière de traiter les données en votre nom
  2. l'engagement de nouveaux sous-traitants.
  3. le traitement des demandes de droits sur les données
  4. la réaction en cas de violation de données personnelles.
  5. l'assistance lors des contrôles de la CNIL
  6. la récupération des données en fin de contrat

Négliger toute vérification périodique de votre sous-traitant

En tant que responsable du traitement, vous devez constamment veiller à ce que le traitement se déroule comme prévu. Demandez à votre prestataire externe de vous donner accès à la partie du registre qui explique le traitement pour lequel vous l'avez engagé. C'est sur cette base que la description du traitement dans votre registre sera élaborée. Si vous le pouvez, demandez-lui d'attester de temps en temps la bonne application de toutes les règles. Cela vous aidera en cas de contrôle par la CNIL.

Si vous voulez ne plus reproduire ces erreurs et être accompagné dans cette démarche par nos juristes, vous pouvez commencer par une démonstration gratuite de notre outil.

Ces articles pourraient vous intéresser :

Liens complémentaires :