Back to Blog

Comment s’assurer de la conformité RGPD de ses sous-traitants

Maxime JAILLET

Vous êtes-vous assurés de la conformité RGPD de vos fournisseurs ? Vos fournisseurs de solutions, vos consultants, vos prestataires de service peuvent être appelés à manipuler des données à caractère personnel. Vous devez vérifier qu’ils respectent bien les obligations légales. Revue du parc, signature de contrats, audits…On vous dit comment faire. C’est notre product news du jour.

Qu’est-ce qu’un sous-traitant au sens de la conformité RGPD ?

La liste des sous-traitants est large et englobe toute entité, interne ou externe, appelée à manipuler des données à caractère personnel – et parfois à en collecter -  pour votre compte.

  • Vos fournisseurs de solutions informatiques (crm, solution de mesure d’audience, marketing automation…) ;
  • Vos prestataires de services (intégration technique, hébergement de données, maintenance, centre d’appels téléphoniques, consulting…).

Les traitements de données ainsi réalisés sont soumis à une mise en conformité RGPD.

Pourquoi s’assurer de la conformité RGPD de vos sous-traitants ?

Imaginez-vous devoir :

  • organiser des élections de représentants du personnel via du vote électronique ;
  • planifier une campagne de jeux-concours redirigeant vers un site internet pour participer.

Si ces opérations ne représente pas le cœur de métier de votre entreprise, voire de votre direction, vous souhaiterez peut-être en externaliser l’exécution. Or contrairement à une idée reçue, externaliser totalement une prestation ne veut pas dire en déléguer la responsabilité à votre sous-traitant. Les raisons de vérifier vos fournisseurs sont donc nombreuses et c’est une des tâches prioritaires pour vous occuper de votre propre mise en conformité RGPD.

  • La solution informatique qui vous est fournie peut comporter des modules conçus par d’autres acteurs. Autrement dit, les données stockées pour votre compte pourront être manipulés par d’autres entités externes.
  • Certaines prestations seront déléguées à d’autres sous-traitants par votre prestataire. Vous devez donc garder le contrôle de la situation et maîtriser en particulier le recours à des sous-traitants établis hors UE.
  • Vous êtes légalement tenu de contrôler leur conformité RGPD. Le simple fait d’avoir signé un contrat ne comportant pas une clause de données personnelles à jour peut vous être reproché.
  • Vous êtes comptable des failles de sécurité de vos sous-traitants. Vos données étaient hébergées sur un serveur très peu sécurisé ? Vos données clients (devis, factures) se retrouvent accessibles en ligne sur Internet ? La solution de marketing automation de votre prestataire a été hackée ? Il vous reviendra de notifier toute violation de donnée à caractère personnel à la CNIL. L’autorité pourra également vous reprocher d’avoir choisi un fournisseur ne présentant pas toutes les garanties requises.
  • Lorsque vos clients et vos prospects vous demandent de leur communiquer toutes leurs données personnelles en votre possession, cela inclut les données stockées par vos prestataires.

En 2014, la CNIL a ainsi adressé un avertissement public à un opérateur télécom pour ne pas s’être assuré du niveau de sécurité de ses sous-traitants, notamment via un audit.

Comment s’assurer de la conformité RGPD de vos sous-traitants ?

  • Faites la liste de vos sous-traitants actuels. Priorisez la revue des plus critiques d’entre eux puis, progressivement, examinez l’ensemble des autres.
  • Assurez-vous que toutes vos prestations externalisées vous sont encore nécessaires. Profitez en pour faire le ménage, stoppez les relations qui ne vous servent plus (un site web de jeux abandonné, une solution de personnalisation en ligne que vous n’utilisez plus…).
  • Mettez à jour les contrats, incorporez une nouvelle clause de protection des données ou renforcez celles qui existent.
  • Identifiez les prestataires transférant des données hors Union Européenne. Ces transferts doivent être sécurisés, idéalement en signant des clauses contractuelles types. Il peut s’agir de fournisseurs donnant accès aux données à leurs maisons-mères américaines, de prestataires recourant à des filiales ou des sous-traitants offshore…
  • Vérifiez la politique de sécurité déployée par vos fournisseurs. Dans les cas les plus critiques, n’hésitez pas à prévoir un audit.
  • Revoyez vos process de sélections de nouveaux fournisseurs et d’achats, notamment dans le cadre d’appels d’offres et de marchés publics. Incorporez y vos exigences types en matière de protection des données et de sécurité IT.

Conclusion : Ne négligez pas la conformité RGPD de vos fournisseurs

La revue de conformité RGPD est une bonne occasion d’optimiser la gestion de de vos fournisseurs. Vous maîtriserez mieux votre data en rationalisant le parc à ce qui vous est vraiment nécessaire.

Les responsabilités juridiques qui sont les vôtres justifient en outre un contrôle sérieux tant lors de la phase de sélection et d’achat que tout le long de la prestation. Il s’agit de signer des contrats actualisés mais pas uniquement.

Au final, ces effort conséquents vous permettent aussi de justifier la confiance que vos prospects et vos clients vous accordent. Le souci réel de bien sécuriser les données est un argument que vous pouvez utiliser pour vous démarquer de la concurrence.

Le back-office d’Axeptio permet par exemple de lister ses sous-traitants et renseigner certaines informations liées à leurs conformité : noms, pays destinataire de transfert de données, mécanisme d’encadrement des transferts utilisé...



Share on social media: 

Ne partez pas si vite ... 

RGPD, LPD... Deux lois pour encadrer la protection des données en Suisse

RGPD et LPD, connaissez-vous ces deux sigles ? C’est le lot quotidien des entreprises établies en Suisse. Le RGPD encadre les opérations concernant les données des citoyens établis dans l’UE. La loi fédérale LPD concerne, elle, la protection des données personnelles en Suisse. Le contexte réglementaire est en pleine mutation. Pour vous, c’est donc l’heure d’accélérer vos projets de conformité.

Lire la suite

Luxembourg – Comment la CNPD contrôle votre conformité RGPD

Connaissez-vous la Commission Nationale pour la Protection des Données (CNPD) ? Cet organe est chargé de faire respecter le RGPD au sein du Grand Duché de Luxembourg. Il privilégie actuellement l’accompagnement à la répression mais cela pourrait changer. En attendant, c’est pour vous l’occasion d’avancer sur la gestion de vos cookies. On vous dit tout.

Lire la suite

Axeptio vous présente le cookie : Zendesk

Zendesk est un outil redoutable pour gérer sa relation client. Des milliers de clients utilise cette solution éprouvée et vraiment agréable à utiliser, que ce soit pour les administrateurs que pour les clients. Derrière ce petit chat intelligent que vous voyez régulièrement en bas à droite sur les sites internet que vous visitez, se cache en réalité des fonctionnalités totalement bluffantes qui aident les entreprises à entretenir leur relation client.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.