5 erreurs RGPD à éviter face à vos sous-traitants
Il est très commun d'utiliser un prestataire/sous-traitant pour simplifier la vie de son entreprise ou de son association. À ce propos, qui sont les prestataires RGPD et que proposent-ils ?
Avec le RGPD, faire appel à un sous-traitant (consultant, comptable, logiciel, plateforme en ligne, etc.), exige pour votre organisation :
- de s'interroger sur différents points de conformité
- d'intégrer une série de mesures obligatoires
Gardez à l'esprit que l'approche "signer un contrat et l'oublier" implique une zone de risque.
Quelles sont les 5 erreurs RGPD à éviter face à vos sous-traitants ?
- Attendre que votre sous-traitant vous dise ce qu'il fait
- Ne pas s'intéresser aux mesures de sécurité appliquées par votre sous-traitant
- Ne pas savoir à qui votre sous-traitant partage ou transfère les données que vous fournissez
- Ne pas maîtriser les clauses relatives à la protection des données personnelles
- Négliger toute vérification périodique de votre sous-traitant
Les clauses RGPD de mon sous-traitant sont-elles correctes ?
Il est important d'être attentif aux clauses contractuelles et de proposer, si besoin, demander d'inclure de nouveaux éléments spécifiques aux CGV/CGU concernant le traitement des données personnelles.
Les éléments RGPD essentiels d'une clause de sous-traitance :
Il est important de s'assurer qu'il existe une section traitant des aspects suivants :
- l'objet du traitement ;
- la durée du traitement ;
- la nature et la finalité du traitement ;
- le type de données à caractère personnel concernées ;
- les catégories de personnes concernées ;
- les obligations et les droits du responsable du traitement et du sous-traitant.
Les éléments de procédures RGPD recommandés dans votre relation de sous-traitance :
- la fourniture d'instructions sur la manière de traiter les données en votre nom
- l'engagement de nouveaux sous-traitants.
- le traitement des demandes de droits sur les données
- la réaction en cas de violation de données personnelles.
- l'assistance lors des contrôles de la CNIL
- la récupération des données en fin de contrat
Comment mon sous-traitant a organisé sa conformité ?
Lorsque vous faites appel à un prestataire de services externe pour effectuer une tâche qui implique des données personnelles, par exemple la présélection de candidats, le traitement des salaires, un logiciel pour traiter les dossiers de tous vos employés, vous êtes le principal responsable dans cette histoire.
En ce qui concerne le RGPD, vous agissez en tant que responsable du traitement des données et vous avez la responsabilité principale d'encadrer l'activité de votre prestataire externe pour vous assurer qu'il dispose des outils adéquats de protection des données.
Quelles sont les questions RGPD à poser à son sous-traitant ?
Organisez donc une réunion avec vos prestataires de services et posez-leur ces questions :
- Qu'est-ce que le sous-trait a fait ou prévoit de faire, pour se conformer au RGPD ?
- Comment le prestataire s'assure-il que leurs propres sous-traitants sont conformes ?
- Quels sont les outils que votre sous-traitant propose pour que votre entreprise ou association reste conforme ?
- Votre prestataire a-t-il mis en place des politiques claires en matière de protection des données personnelles ?
Cela vous fera perdre 3h de votre emploi du temps aujourd'hui, mais vous épargnera des jours précieux en cas de violation de données, de contrôle de la CNIL ou de défaillance dudit prestataire.
Quelles mesures de sécurité mon sous-traitant applique-t-il ?
En complément de la documentation nécessaire, il est essentiel d'associer des mesures techniques appropriées pour protéger les données personnelles contre la destruction ou la perte accidentelle ou illégale, l'altération, la divulgation ou l'accès non autorisés, tout le travail que nous faisons n'aura aucun sens.
Exemples de mesures de sécurité à vérifier
Il est recommandé de vous assurer que votre prestataire externe :
- se charge de l'élimination de tout déchet papier et électronique;
- utilise un pare-feu pour sécuriser la connexion internet;
- choisisse les paramètres les plus sûrs pour ses appareils et ses logiciels;
- contrôle qui a accès à leurs données et appareils;
- se protège contre les virus et autres logiciels malveillants;
- maintienne ses appareils et logiciels à jour;
- assure une coordination efficace avec les personnes clés de votre organisation;
- utilise un accès protégé et approprié aux locaux ou aux équipements (par exemple lors de la maintenance informatique) ;
- prévoie des dispositions pour assurer la continuité de ses activités en précisant comment il protégera et récupérera les données personnelles qu'il détient ;
- effectue des contrôles périodiques pour s'assurer que leurs mesures de sécurité restent appropriées et à jour.
Pour sécuriser vos relations avec vos sous-traitants, Blockproof peut vous aider.
Comment votre sous-traitant partage ou transfère les données que vous fournissez ?
Ce n'est pas parce qu'un sous-traitant vous simplifie la tâche, que vous devriez les laisser faire ce qu'ils veulent (surtout lorsqu'il s'agit de partager les données qu'ils reçoivent grâce à votre sous-traitance).
Le RGPD interdit tout transfert de données personnelles par un sous-traitant, sans avoir reçu votre autorisation explicite écrite, qu'il s'agisse de transferts au sein de l'Union européenne ou en dehors de celle-ci. Vous disposez d'un droit de contrôle et pouvez accepter ou refuser les éventuels sous-traitants de votre prestataire. Lorsque votre prestataire vous demande l'autorisation, vous pouvez dire non par défaut.
Il existe une grille de critères à vérifier et, lorsque tout semble être en règle en matière de protection des données personnelles, vous êtes le seul à pouvoir autoriser un tel transfert, car vous êtes responsable, par ricochet, de ce qu'ils font.
Vérification périodiquement la conformité de ses sous-traitants
Votre organisme, incarnée par sa Direction général est appelée responsable du traitement au sens du RGPD. À ce titre, vous devez veiller à ce que le la manière dont sont traitées les données se déroule comme il est prévu dans le contrat de sous-traitance.
Vous pouvez à ce égard, vérifier les preuves de conformité de votre prestataire comme par exemple son Registre des activités de traitement, qui doit expliquer le traitement pour lequel vous l'avez engagé. Mieux encore, si ce dernier peut attester occasionnellement de la bonne application des règles de conformité, cela vous aidera en cas de contrôle par la CNIL.
Pour votre entreprise ou association, le Délégué à la Protection des Données (DPO désigné auprès de la CNIL) est la personne la plus apte à sécuriser votre relation avec vos sous-traitants.
Pour aller plus loin : DPO interne ou DPO externe, comment choisir ?