En ce moment En ce moment

DossierRGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données

Publié par le

9 - [Cas pratique] Les enjeux du RGPD pour les sous-traitants gérant des données personnelles

Comment les sous-traitants gérant des données personnelles peuvent-ils assurer leur mise en conformité avec le RGPD? Retrouvez les conseils d'Adèle Adam, DPO chez Claranet.

Selon IDC, de nombreuses sociétés vont décider d'externaliser le traitement des données RH afin de limiter leurs risques et de respecter leurs obligations de conformité. Alors comment assurer la conformité des entreprises à moins d'un an de l'applicabilité du RGPD? En tant que sous-traitant, quelles sont les précautions à prendre en compte pour intégrer les nouvelles exigences du RGPD en toute sérénité?

Sous-traitant, un statut déjà existant, désormais plus exigeant

Un sous-traitant dispose d'un mandat de traitement des données personnelles défini par le responsable de traitement et agit sur instruction du responsable de traitement. Le mandat est principalement formalisé par les contrats qui lient le sous-traitant à ses clients. Ainsi, une mise à jour active et continuelle des modèles de contrats en intégrant directement les clauses obligatoires décrites à l'article 28 du RGPD permet dans un premier temps d'être conforme contractuellement. Afin d'établir les rôles et responsabilités en matière de protection des données personnelles, une politique et une matrice de responsabilité type peuvent également être établies.

Se positionner comme partenaire de confiance

Le RGPD insiste sur les devoirs du sous-traitant:

  • Un devoir de conseil, notamment sur les sujets de sécurité,
  • Un devoir d'assistance en cas de demande des personnes concernées,
  • Un devoir de coopération, par exemple en cas de contrôle de la CNIL.

Des devoirs qui nécessitent de se positionner comme partenaire de confiance pour ses clients. Une confiance et une coopération mutuelles d'autant plus indispensables que les sanctions sont désormais partagées, le sous-traitant pourra être contrôlé et sanctionné par la Cnil au même titre que l'est aujourd'hui le responsable de traitement.

Sous-traitant, un maillon d'une chaîne de conformité

Le sous-traitant occupe un maillon clé d'une chaîne de conformité et interagit avec différents acteurs. Il est parfois en relation contractuelle directe avec le responsable de traitement, et parfois avec le sous-traitant d'un responsable de traitement (un éditeur SaaS sous contrat avec un hébergeur par exemple).

La conformité au RGPD du sous-traitant est une condition essentielle pour assurer la conformité de la chaîne globale de sous-traitance. Mais elle n'est pas suffisante: chaque maillon devra être en capacité de démontrer sa conformité. Via le processus de gestion des fournisseurs, il est nécessaire de garantir que les prestataires, aussi bien en amont qu'en aval de la chaîne de sous-traitance, répondent aux exigences.

Le SMSI, un appui incontournable

Le SMSI, ou système de management de la sécurité de l'information, est un outil incontournable dans le processus de mise en conformité au RGPD. Plus il est mature, c'est-à-dire plus il s'est enrichi de nouveaux référentiels tels que ISO 27002, PCI-DSS ou encore le formulaire P6 de l'Agrément HDS, moins il sera complexe de répondre aux exigences du RGPD. En s'appuyant sur l'organisation, les procédures, et les mesures de sécurité existantes, puis en les enrichissant, notamment via les contrôles complémentaires du référentiel ISO 27018 relatif à la sécurité des données personnelles dans le cloud, le sous-traitant peut faire converger les deux démarches dans un ensemble cohérent.

Ainsi, la désignation du DPO (Data Protection Officer), la sensibilisation des équipes internes à la protection des données personnelles et aux nouveaux outils à intégrer font partie des étapes indispensables pour intégrer le RGPD en toute sérénité. Aujourd'hui, les sous-traitants s'appuient principalement sur les directives du G29 pour les premiers travaux de mise en conformité. Ces divers éléments ne seront pas les seuls à prendre en compte. Ainsi, nous pouvons nous attendre à de nouvelles directives du G29, à la déclinaison du RGPD en actes délégués, ou encore à la révision de la Loi informatique et libertés puis des décrets d'application. Afin d'anticiper ces éventuels changements, il est utile de rester en veille permanente afin d'ajuster les travaux réalisés, en cours et à venir.

Par Adèle Adam, Data Protection Officer chez Claranet

Dossier coordonné par Bénédicte Gouttebroze

Aude Guesnon,<br/>rédactrice en chef Aude Guesnon,
rédactrice en chef

La Lettre de la Rédac

Chaque semaine, l'essentiel de l'actu

La rédaction vous recommande

Sur le même sujet