Sous-traitant : soyez prêt à démontrer votre conformité !

Sous-traitant : soyez prêt à démontrer votre conformité !
Article RGPD

La CNIL a récemment publié un modèle d’autoévaluation de maturité en gestion de protection des données. Ce modèle va permettre aux organismes d’évaluer la maturité de leur conformité et d’améliorer leurs pratiques en matière de protection des données. Il sera d’ailleurs très utile à vous sous-traitants qui faites souvent l’objet de questionnaires de la part de vos clients sur votre conformité !

Mais quel est l’objectif de ces questionnaires ? Il s’agit de vérifier que le prestataire, en tant que sous-traitant (au sens de l’article 28 du RGPD) présente bien des « garanties suffisantes » qui lui permettent de respecter à la fois les obligations du RGPD ainsi que les attentes d’un client.

Pourquoi attendre ? Préparez-vous en avance !

Comment faire ?

Préparer une documentation que vous pourrez communiquer :

  • En tant que sous-traitant vous avez l’obligation de tenir un registre des catégories d’activité de traitement. Il s’agit du registre correspondant aux activités de traitements pour lesquels vous intervenez en tant que sous-traitant.

Comme beaucoup de prestataire, les activités de traitement mises en œuvre pour le compte de vos clients sont similaires, voire identiques. Profitez-en pour développer une fiche registre modèle dans laquelle vous décrirez les activités menées pour les comptes de vos clients. Cela permettra à votre client de savoir tout de suite :

  • Quels sont les destinataires internes et externes (sous-traitants ultérieurs par exemple) des données qu’ils vous confient ;
  • Quels sont les transferts hors UE que vous mettez en œuvre dans le cadre de cette activité et quelles sont les garanties mises en œuvre (un doute sur le sujet ? Regardez notre série de Minutes RGPD !)
  • Quelles sont les mesures de sécurité, ou fameuses « mesures techniques et organisationnelles » mises en œuvre à votre niveau pour protéger les données traitées pour vos clients.
  • Préparez également des éléments qui vous permettront de démontrer que vous pouvez :
    • Aider le responsable de traitement à traiter les demandes d’exercice des droits des personnes concernées ;
    • Prévenir le responsable de traitement sans tarder en cas de violations de données à caractère personnel.

Il s’agit de deux de vos obligations en tant que sous-traitant. N’hésitez pas à formaliser ces process, de manière synthétisée par exemple, pour pouvoir les présenter.

  • Présenter une « Politique de protection des données » : un document qui présentera ce que vous faites des données en interne mais aussi pour le compte de vos clients.

Les « Politiques de protection des données » sont vues comme des mentions d’information très détaillées dans lesquelles sous-traitants comme responsable du traitement peuvent aussi mettre en avant leurs engagements sur les questions de protection de données à caractère personnel et protection de la vie privée.

Communiquer également sur le travail déjà réalisé !

  • Vous avez désigné un délégué à la protection des données ? Faites-le savoir !

Votre délégué à la protection des données sera l’interlocuteur privilégié de vos clients. A ce titre, il pourra fournir tous les compléments d’informations nécessaires requis par ces derniers.

  • Vous avez mené une analyse d’impact relative à la protection des données sur vos activités en tant que prestataire ? Là encore : communiquez !

En tant que sous-traitant vous pouvez être amené à participer à une analyse d’impact réalisée par un client sur le traitement dans lequel vous intervenez. Si vous avez déjà rempli cette obligation, vous pourrez le confirmer auprès de votre client, voire lui fournir les résultats de l’analyse afin de démontrer que le traitement mis en œuvre à votre niveau présente des risques résiduels peu importants.

Pour finir, n’oubliez pas qu’en cas d’audit un client pourrait exiger des informations complémentaires. A titre d’exemple, il pourrait demander :

  • La confirmation que les salariés manipulant les données le font uniquement sur leurs instructions ;
  • L’exigence d’engagement de confidentialité pour ces mêmes salariés ;
  • Un listing des mesures techniques et organisationnelles mises en œuvre ;
  • Des précisions concernant toutes sous-traitance ultérieures ou transferts hors Union européenne.

Et bien d’autres !

Pour plus d’informations, n’hésitez pas à nous contacter !

Partager l'article

Articles similaires

L’aide « FNE Formation Renforcé »
Article RGPD

L’aide « FNE Formation Renforcé »

« FNE Formation Renforcé » est un dispositif permettant de venir en aide aux entreprises touchées par la crise sanitaire.
Lire la suite
Les bonnes pratiques RGPD
Article RGPD

Les bonnes pratiques RGPD

Les bonnes pratiques RGPD ne sont pas toujours instinctif pour tout les collaborateurs, c'est pourquoi il est important des les sensibiliser.
Lire la suite