MenuMenu

Comment s’assurer de la conformité RGPD de ses sous-traitants

Vous êtes-vous assurés de la conformité RGPD de vos fournisseurs ? Vos fournisseurs de solutions, vos consultants, vos prestataires de service peuvent être appelés à manipuler des données à caractère personnel. Vous devez vérifier qu’ils respectent bien les obligations légales. Revue du parc, signature de contrats, audits…On vous dit comment faire. C’est notre product news du jour.

Qu’est-ce qu’un sous-traitant au sens de la conformité RGPD ?

La liste des est large et englobe toute entité, interne ou externe, appelée à manipuler des données à caractère personnel – et parfois à en collecter -  pour votre compte.

  • Vos fournisseurs de solutions informatiques (crm, solution de mesure d’audience, marketing automation…) ;
  • Vos prestataires de services (intégration technique, hébergement de données, maintenance, centre d’appels téléphoniques, consulting…).

Les traitements de données ainsi réalisés sont soumis à une mise en conformité RGPD.

Pourquoi s’assurer de la conformité RGPD de vos sous-traitants ?

Imaginez-vous devoir :

  • organiser des élections de représentants du personnel via du vote\télectronique ;
  • planifier une campagne de jeux-concours redirigeant vers un site internet pour participer.

Si ces opérations ne représentent pas le cœur de métier de votre entreprise, voire de votre direction, vous souhaiterez peut-être en externaliser l’exécution. Or contrairement à une idée reçue, externaliser totalement une prestation ne veut pas dire en déléguer la responsabilité à votre sous-traitant. Les raisons de vérifier vos sont donc nombreuses et c’est une des tâches prioritaires pour vous occuper de votre propre mise en conformité RGPD.

  • La solution informatique qui vous est fournie peut comporter des modules conçus par d’autres acteurs. Autrement dit, les données stockées pour votre compte pourront être manipulées par d’autres entités externes.
  • Certaines prestations seront déléguées à d’autres sous-traitants par votre prestataire. Vous devez donc garder le contrôle de la situation et maîtriser en particulier le recours à des sous-traitants établis hors UE.
  • Vous êtes légalement tenu de contrôler leur conformité RGPD. Le simple fait d’avoir signé un contrat ne comportant pas une clause de données personnelles à jour peut vous être reproché.
  • Vous êtes comptable des failles de sécurité de vos sous-traitants. Vos données étaient hébergées sur un serveur très peu\tsécurisé ? Vos données clients (devis, factures) se retrouvent accessibles en ligne sur Internet ? La solution de marketing automation de votre prestataire a été hackée ? Il vous reviendra de notifier toute violation de donnée à caractère personnel à la CNIL. L’autorité\tpourra également vous reprocher d’avoir choisi un fournisseur ne présentant pas toutes les garanties requises.
  • Lorsque vos clients et vos prospects vous demandent de leur communiquer\ttoutes leurs données personnelles en votre possession, cela inclut\tles données stockées par vos prestataires.

En 2014, la CNIL a ainsi adressé un avertissement public à un opérateur télécom pour ne pas s’être assuré du niveau de sécurité de ses sous-traitants, notamment via un audit.

Comment s’assurer de la conformité RGPD de vos sous-traitants ?

  • Faites la liste de vos sous-traitants actuels. Priorisez la revue des plus critiques d’entre eux puis, progressivement, examinez l’ensemble des autres.
  • Assurez-vous\tque toutes vos vous sont encore nécessaires. Profitez en pour faire le ménage, stoppez les relations qui ne vous servent plus (un site web de jeux abandonné, une solution de personnalisation en ligne que vous n’utilisez plus…).
  • Mettez\tà jour les contrats, incorporez une nouvelle clause de protection des données ou renforcez celles qui existent.
  • Identifiez les prestataires transférant des données hors Union Européenne. Ces transferts doivent être sécurisés, idéalement en signant des\tclauses contractuelles types. Il peut s’agir de fournisseurs donnant accès aux données à leurs maisons-mères américaines, de prestataires recourant à des filiales ou des sous-traitants\toffshore…
  • Vérifiez la politique de sécurité déployée par vos fournisseurs. Dans les cas les plus critiques, n’hésitez pas à prévoir un audit.
  • Revoyez\tvos process de sélections de nouveaux fournisseurs et d’achats, notamment dans le cadre d’appels d’offres et de marchés publics. Incorporez y vos exigences types en matière de protection des données et de sécurité IT.

Conclusion : Ne négligez pas la conformité RGPD de vos fournisseurs

La est une bonne occasion d’optimiser la gestion de de vos fournisseurs. Vous maîtriserez mieux votre data en rationalisant le parc à ce qui vous est vraiment nécessaire.

Les responsabilités juridiques qui sont les vôtres justifient en outre un contrôle sérieux tant lors de la phase de sélection et d’achat que tout le long de la prestation. Il s’agit de signer des contrats actualisés mais pas uniquement.

Au final, ces effort conséquents vous permettent aussi de justifier la confiance que vos prospects et vos clients vous accordent. Le souci réel de bien sécuriser les données est un argument que vous pouvez utiliser pour vous démarquer de la concurrence.

Le back-office d’Axeptio permet par exemple de lister ses sous-traitants et renseigner certaines informations liées à leurs conformité : noms, pays destinataire de transfert de données, mécanisme d’encadrement des transferts utilisé...

Liste des informations liés à la conformité des sous-traitants