Back to Blog

Comment s’assurer de la conformité RGPD de ses sous-traitants

Maxime JAILLET

Vous êtes-vous assurés de la conformité RGPD de vos fournisseurs ? Vos fournisseurs de solutions, vos consultants, vos prestataires de service peuvent être appelés à manipuler des données à caractère personnel. Vous devez vérifier qu’ils respectent bien les obligations légales. Revue du parc, signature de contrats, audits…On vous dit comment faire. C’est notre product news du jour.

Qu’est-ce qu’un sous-traitant au sens de la conformité RGPD ?

La liste des sous-traitants est large et englobe toute entité, interne ou externe, appelée à manipuler des données à caractère personnel – et parfois à en collecter -  pour votre compte.

  • Vos fournisseurs de solutions informatiques (crm, solution de mesure d’audience, marketing automation…) ;
  • Vos prestataires de services (intégration technique, hébergement de données, maintenance, centre d’appels téléphoniques, consulting…).

Les traitements de données ainsi réalisés sont soumis à une mise en conformité RGPD.

Pourquoi s’assurer de la conformité RGPD de vos sous-traitants ?

Imaginez-vous devoir :

  • organiser des élections de représentants du personnel via du vote électronique ;
  • planifier une campagne de jeux-concours redirigeant vers un site internet pour participer.

Si ces opérations ne représentent pas le cœur de métier de votre entreprise, voire de votre direction, vous souhaiterez peut-être en externaliser l’exécution. Or contrairement à une idée reçue, externaliser totalement une prestation ne veut pas dire en déléguer la responsabilité à votre sous-traitant. Les raisons de vérifier vos fournisseurs sont donc nombreuses et c’est une des tâches prioritaires pour vous occuper de votre propre mise en conformité RGPD.

  • La solution informatique qui vous est fournie peut comporter des modules conçus par d’autres acteurs. Autrement dit, les données stockées pour votre compte pourront être manipulées par d’autres entités externes.
  • Certaines prestations seront déléguées à d’autres sous-traitants par votre prestataire. Vous devez donc garder le contrôle de la situation et maîtriser en particulier le recours à des sous-traitants établis hors UE.
  • Vous êtes légalement tenu de contrôler leur conformité RGPD. Le simple fait d’avoir signé un contrat ne comportant pas une clause de données personnelles à jour peut vous être reproché.
  • Vous êtes comptable des failles de sécurité de vos sous-traitants. Vos données étaient hébergées sur un serveur très peu sécurisé ? Vos données clients (devis, factures) se retrouvent accessibles en ligne sur Internet ? La solution de marketing automation de votre prestataire a été hackée ? Il vous reviendra de notifier toute violation de donnée à caractère personnel à la CNIL. L’autorité pourra également vous reprocher d’avoir choisi un fournisseur ne présentant pas toutes les garanties requises.
  • Lorsque vos clients et vos prospects vous demandent de leur communiquer toutes leurs données personnelles en votre possession, cela inclut les données stockées par vos prestataires.

En 2014, la CNIL a ainsi adressé un avertissement public à un opérateur télécom pour ne pas s’être assuré du niveau de sécurité de ses sous-traitants, notamment via un audit.

Comment s’assurer de la conformité RGPD de vos sous-traitants ?

  • Faites la liste de vos sous-traitants actuels. Priorisez la revue des plus critiques d’entre eux puis, progressivement, examinez l’ensemble des autres.
  • Assurez-vous que toutes vos prestations externalisées vous sont encore nécessaires. Profitez en pour faire le ménage, stoppez les relations qui ne vous servent plus (un site web de jeux abandonné, une solution de personnalisation en ligne que vous n’utilisez plus…).
  • Mettez à jour les contrats, incorporez une nouvelle clause de protection des données ou renforcez celles qui existent.
  • Identifiez les prestataires transférant des données hors Union Européenne. Ces transferts doivent être sécurisés, idéalement en signant des clauses contractuelles types. Il peut s’agir de fournisseurs donnant accès aux données à leurs maisons-mères américaines, de prestataires recourant à des filiales ou des sous-traitants offshore…
  • Vérifiez la politique de sécurité déployée par vos fournisseurs. Dans les cas les plus critiques, n’hésitez pas à prévoir un audit.
  • Revoyez vos process de sélections de nouveaux fournisseurs et d’achats, notamment dans le cadre d’appels d’offres et de marchés publics. Incorporez y vos exigences types en matière de protection des données et de sécurité IT.

Conclusion : Ne négligez pas la conformité RGPD de vos fournisseurs

La revue de conformité RGPD est une bonne occasion d’optimiser la gestion de de vos fournisseurs. Vous maîtriserez mieux votre data en rationalisant le parc à ce qui vous est vraiment nécessaire.

Les responsabilités juridiques qui sont les vôtres justifient en outre un contrôle sérieux tant lors de la phase de sélection et d’achat que tout le long de la prestation. Il s’agit de signer des contrats actualisés mais pas uniquement.

Au final, ces effort conséquents vous permettent aussi de justifier la confiance que vos prospects et vos clients vous accordent. Le souci réel de bien sécuriser les données est un argument que vous pouvez utiliser pour vous démarquer de la concurrence.

Le back-office d’Axeptio permet par exemple de lister ses sous-traitants et renseigner certaines informations liées à leurs conformité : noms, pays destinataire de transfert de données, mécanisme d’encadrement des transferts utilisé...



Share on social media: 

Ne partez pas si vite ... 

US – Qu’est-ce que le CCPA et le CPRA et comment s’y conformer grâce à Axeptio ?

Le module d’Axeptio vous permet de déployer une gestion des cookies conforme au CCPA et au CPRA. L’État Californien s’est en effet doté de normes reposant sur l’information du user et un droit à l’opt-out. Pourquoi s’intéresser à nous ? Parce que notre module étant RGPD-friendly, il passe haut la main le stress-test du CCPA. Pour vous, c’est une occasion de rendre fun vos cookies.

Lire la suite

Consentement, bandeau et cookies – La temporisation est la clé

Temporiser le dépôt de vos cookies ? A l’heure de la course aux opt-in perdus, il s’agit de se concentrer sur l’essentiel. En effet, déposer trop tôt vos traceurs signifie collecter de la donnée personnelle sur une audience non pertinente. La temporisation est donc un moyen appréciable de vous recentrer sur les users véritablement engagés...

Lire la suite

Romain Batigne, Aka Roro, rejoint Axeptio

Si les factures reviennent enfin dans le back-office, c'est grâce à lui : Romain Batigne, Aka RORO ! ALors, on s'est dit que c'était une chouette opportunité pour vous le présenter en quelques questions / réponses.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.