Back to Blog

Comment s’assurer de la conformité RGPD de ses sous-traitants

Maxime JAILLET

Vous êtes-vous assurés de la conformité RGPD de vos fournisseurs ? Vos fournisseurs de solutions, vos consultants, vos prestataires de service peuvent être appelés à manipuler des données à caractère personnel. Vous devez vérifier qu’ils respectent bien les obligations légales. Revue du parc, signature de contrats, audits…On vous dit comment faire. C’est notre product news du jour.

Qu’est-ce qu’un sous-traitant au sens de la conformité RGPD ?

La liste des sous-traitants est large et englobe toute entité, interne ou externe, appelée à manipuler des données à caractère personnel – et parfois à en collecter -  pour votre compte.

  • Vos fournisseurs de solutions informatiques (crm, solution de mesure d’audience, marketing automation…) ;
  • Vos prestataires de services (intégration technique, hébergement de données, maintenance, centre d’appels téléphoniques, consulting…).

Les traitements de données ainsi réalisés sont soumis à une mise en conformité RGPD.

Pourquoi s’assurer de la conformité RGPD de vos sous-traitants ?

Imaginez-vous devoir :

  • organiser des élections de représentants du personnel via du vote électronique ;
  • planifier une campagne de jeux-concours redirigeant vers un site internet pour participer.

Si ces opérations ne représente pas le cœur de métier de votre entreprise, voire de votre direction, vous souhaiterez peut-être en externaliser l’exécution. Or contrairement à une idée reçue, externaliser totalement une prestation ne veut pas dire en déléguer la responsabilité à votre sous-traitant. Les raisons de vérifier vos fournisseurs sont donc nombreuses et c’est une des tâches prioritaires pour vous occuper de votre propre mise en conformité RGPD.

  • La solution informatique qui vous est fournie peut comporter des modules conçus par d’autres acteurs. Autrement dit, les données stockées pour votre compte pourront être manipulés par d’autres entités externes.
  • Certaines prestations seront déléguées à d’autres sous-traitants par votre prestataire. Vous devez donc garder le contrôle de la situation et maîtriser en particulier le recours à des sous-traitants établis hors UE.
  • Vous êtes légalement tenu de contrôler leur conformité RGPD. Le simple fait d’avoir signé un contrat ne comportant pas une clause de données personnelles à jour peut vous être reproché.
  • Vous êtes comptable des failles de sécurité de vos sous-traitants. Vos données étaient hébergées sur un serveur très peu sécurisé ? Vos données clients (devis, factures) se retrouvent accessibles en ligne sur Internet ? La solution de marketing automation de votre prestataire a été hackée ? Il vous reviendra de notifier toute violation de donnée à caractère personnel à la CNIL. L’autorité pourra également vous reprocher d’avoir choisi un fournisseur ne présentant pas toutes les garanties requises.
  • Lorsque vos clients et vos prospects vous demandent de leur communiquer toutes leurs données personnelles en votre possession, cela inclut les données stockées par vos prestataires.

En 2014, la CNIL a ainsi adressé un avertissement public à un opérateur télécom pour ne pas s’être assuré du niveau de sécurité de ses sous-traitants, notamment via un audit.

Comment s’assurer de la conformité RGPD de vos sous-traitants ?

  • Faites la liste de vos sous-traitants actuels. Priorisez la revue des plus critiques d’entre eux puis, progressivement, examinez l’ensemble des autres.
  • Assurez-vous que toutes vos prestations externalisées vous sont encore nécessaires. Profitez en pour faire le ménage, stoppez les relations qui ne vous servent plus (un site web de jeux abandonné, une solution de personnalisation en ligne que vous n’utilisez plus…).
  • Mettez à jour les contrats, incorporez une nouvelle clause de protection des données ou renforcez celles qui existent.
  • Identifiez les prestataires transférant des données hors Union Européenne. Ces transferts doivent être sécurisés, idéalement en signant des clauses contractuelles types. Il peut s’agir de fournisseurs donnant accès aux données à leurs maisons-mères américaines, de prestataires recourant à des filiales ou des sous-traitants offshore…
  • Vérifiez la politique de sécurité déployée par vos fournisseurs. Dans les cas les plus critiques, n’hésitez pas à prévoir un audit.
  • Revoyez vos process de sélections de nouveaux fournisseurs et d’achats, notamment dans le cadre d’appels d’offres et de marchés publics. Incorporez y vos exigences types en matière de protection des données et de sécurité IT.

Conclusion : Ne négligez pas la conformité RGPD de vos fournisseurs

La revue de conformité RGPD est une bonne occasion d’optimiser la gestion de de vos fournisseurs. Vous maîtriserez mieux votre data en rationalisant le parc à ce qui vous est vraiment nécessaire.

Les responsabilités juridiques qui sont les vôtres justifient en outre un contrôle sérieux tant lors de la phase de sélection et d’achat que tout le long de la prestation. Il s’agit de signer des contrats actualisés mais pas uniquement.

Au final, ces effort conséquents vous permettent aussi de justifier la confiance que vos prospects et vos clients vous accordent. Le souci réel de bien sécuriser les données est un argument que vous pouvez utiliser pour vous démarquer de la concurrence.

Le back-office d’Axeptio permet par exemple de lister ses sous-traitants et renseigner certaines informations liées à leurs conformité : noms, pays destinataire de transfert de données, mécanisme d’encadrement des transferts utilisé...



Share on social media: 

Ne partez pas si vite ... 

Le back-office d’Axeptio évolue et prend en compte la fin du Privacy Shield

La CJUE a récemment invalidé le Privacy Shield qui vous permettait de sécuriser le transfert de données personnelles vers les Etats-Unis. Les garanties mises en place en termes de protection des données ont en effet été jugées insuffisantes. Pas de panique, c’était attendu. Vous pouvez signer des clauses contractuelles types avec vos fournisseurs. C’est notre actualité juridique du jour.

Lire la suite

Sécurisez vos bases offline grâce aux questionnaires de consentement d’Axeptio

Vous constituez des bases de prospection commerciale en participant à des salons ou grâce aux conseillers commerciaux de vos boutiques physiques ? Sécurisez vos bases et recueillez le consentement de vos clients et prospects. Pour vous faciliter la vie, Axeptio vous met à disposition un modèle type que vous n’aurez plus qu’à compléter. C’est l’actualité juridique du jour.

Lire la suite

DPO - Comment trouver le bon profil pour gérer votre conformité RGPD ?

Devez-vous confier votre mise en conformité et la fonction de DPO à un profil plutôt juridique ou technique ? Le délégué à la protection des données est en effet un vrai couteau suisse. Il a des compétences polyvalentes, est excellent communiquant et bon diplomate. On vous donne quelques astuces pour choisir avec soin le profil de votre référent.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.