Back to Blog

Comment s’assurer de la conformité RGPD de ses sous-traitants

Maxime JAILLET

Vous êtes-vous assurés de la conformité RGPD de vos fournisseurs ? Vos fournisseurs de solutions, vos consultants, vos prestataires de service peuvent être appelés à manipuler des données à caractère personnel. Vous devez vérifier qu’ils respectent bien les obligations légales. Revue du parc, signature de contrats, audits…On vous dit comment faire. C’est notre product news du jour.

Qu’est-ce qu’un sous-traitant au sens de la conformité RGPD ?

La liste des sous-traitants est large et englobe toute entité, interne ou externe, appelée à manipuler des données à caractère personnel – et parfois à en collecter -  pour votre compte.

  • Vos fournisseurs de solutions informatiques (crm, solution de mesure d’audience, marketing automation…) ;
  • Vos prestataires de services (intégration technique, hébergement de données, maintenance, centre d’appels téléphoniques, consulting…).

Les traitements de données ainsi réalisés sont soumis à une mise en conformité RGPD.

Pourquoi s’assurer de la conformité RGPD de vos sous-traitants ?

Imaginez-vous devoir :

  • organiser des élections de représentants du personnel via du vote électronique ;
  • planifier une campagne de jeux-concours redirigeant vers un site internet pour participer.

Si ces opérations ne représente pas le cœur de métier de votre entreprise, voire de votre direction, vous souhaiterez peut-être en externaliser l’exécution. Or contrairement à une idée reçue, externaliser totalement une prestation ne veut pas dire en déléguer la responsabilité à votre sous-traitant. Les raisons de vérifier vos fournisseurs sont donc nombreuses et c’est une des tâches prioritaires pour vous occuper de votre propre mise en conformité RGPD.

  • La solution informatique qui vous est fournie peut comporter des modules conçus par d’autres acteurs. Autrement dit, les données stockées pour votre compte pourront être manipulés par d’autres entités externes.
  • Certaines prestations seront déléguées à d’autres sous-traitants par votre prestataire. Vous devez donc garder le contrôle de la situation et maîtriser en particulier le recours à des sous-traitants établis hors UE.
  • Vous êtes légalement tenu de contrôler leur conformité RGPD. Le simple fait d’avoir signé un contrat ne comportant pas une clause de données personnelles à jour peut vous être reproché.
  • Vous êtes comptable des failles de sécurité de vos sous-traitants. Vos données étaient hébergées sur un serveur très peu sécurisé ? Vos données clients (devis, factures) se retrouvent accessibles en ligne sur Internet ? La solution de marketing automation de votre prestataire a été hackée ? Il vous reviendra de notifier toute violation de donnée à caractère personnel à la CNIL. L’autorité pourra également vous reprocher d’avoir choisi un fournisseur ne présentant pas toutes les garanties requises.
  • Lorsque vos clients et vos prospects vous demandent de leur communiquer toutes leurs données personnelles en votre possession, cela inclut les données stockées par vos prestataires.

En 2014, la CNIL a ainsi adressé un avertissement public à un opérateur télécom pour ne pas s’être assuré du niveau de sécurité de ses sous-traitants, notamment via un audit.

Comment s’assurer de la conformité RGPD de vos sous-traitants ?

  • Faites la liste de vos sous-traitants actuels. Priorisez la revue des plus critiques d’entre eux puis, progressivement, examinez l’ensemble des autres.
  • Assurez-vous que toutes vos prestations externalisées vous sont encore nécessaires. Profitez en pour faire le ménage, stoppez les relations qui ne vous servent plus (un site web de jeux abandonné, une solution de personnalisation en ligne que vous n’utilisez plus…).
  • Mettez à jour les contrats, incorporez une nouvelle clause de protection des données ou renforcez celles qui existent.
  • Identifiez les prestataires transférant des données hors Union Européenne. Ces transferts doivent être sécurisés, idéalement en signant des clauses contractuelles types. Il peut s’agir de fournisseurs donnant accès aux données à leurs maisons-mères américaines, de prestataires recourant à des filiales ou des sous-traitants offshore…
  • Vérifiez la politique de sécurité déployée par vos fournisseurs. Dans les cas les plus critiques, n’hésitez pas à prévoir un audit.
  • Revoyez vos process de sélections de nouveaux fournisseurs et d’achats, notamment dans le cadre d’appels d’offres et de marchés publics. Incorporez y vos exigences types en matière de protection des données et de sécurité IT.

Conclusion : Ne négligez pas la conformité RGPD de vos fournisseurs

La revue de conformité RGPD est une bonne occasion d’optimiser la gestion de de vos fournisseurs. Vous maîtriserez mieux votre data en rationalisant le parc à ce qui vous est vraiment nécessaire.

Les responsabilités juridiques qui sont les vôtres justifient en outre un contrôle sérieux tant lors de la phase de sélection et d’achat que tout le long de la prestation. Il s’agit de signer des contrats actualisés mais pas uniquement.

Au final, ces effort conséquents vous permettent aussi de justifier la confiance que vos prospects et vos clients vous accordent. Le souci réel de bien sécuriser les données est un argument que vous pouvez utiliser pour vous démarquer de la concurrence.

Le back-office d’Axeptio permet par exemple de lister ses sous-traitants et renseigner certaines informations liées à leurs conformité : noms, pays destinataire de transfert de données, mécanisme d’encadrement des transferts utilisé...



Share on social media: 

Ne partez pas si vite ... 

6 astuces qui rendent votre politique de confidentialité plus lisible

Rendez votre politique de confidentialité compréhensible de vos visiteurs. C’est un enjeu important tant pour satisfaire à vos obligations légales de protection des données personnelles que pour bien communiquer auprès du public. Comment s’y prendre ? Format, structure, tonalité, vocabulaire… On vous dit tout.

Lire la suite

Comment bien choisir son logiciel pour préserver sa conformité RGPD ?

Besoin de vous doter d’un logiciel de conformité RGPD ou d’en changer ? Mais comment choisir parmi la jungle des outils présents sur le marché ? Coût, ergonomie d’utilisation, fonctionnalités de base ou avancées… On vous donne notre liste de critères pour bien choisir votre outil. Au passage, on vous parle aussi d’une solution hyper pratique, celle de Data Legal Drive.

Lire la suite

« Un écran de consentement dédié par finalité, c’est user-friendly »

Le célèbre macareux de Prestashop gère désormais les cookies de ses sites internet grâce au module d’Axeptio. Vous pouvez également retrouver ce module dans leur marketplace. On a mené l’enquête et voulu savoir pourquoi Prestashop a craqué pour la solution d’Axeptio. Marine Dizol, Responsable Juridique, nous dit tout.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.