A quelques mois de l’entrée en application du Règlement Général sur la Protection des Données (RGPD), nombre d’entreprises ont déjà lancé leur programme de mise en conformité. Le programme de conformité, propre à chaque entreprise, peut varier sensiblement en fonction de la taille de l’entreprise, de son portefeuille de clients et de son cœur de métier. En revanche, on retrouve invariablement des actions relatives aux contrats avec ses sous-traitants. Cela s’explique d’une part par une responsabilité accrue du sous-traitant en cas de manquement au RGPD et d’autre part, par l’obligation du responsable de traitement de sélectionner uniquement des
consultants RGPD présentant des garanties suffisantes au regard des données traitées.
Cette exigence entraîne inéluctablement des bouleversements conséquents pour le responsable de traitement dans sa manière de collaborer et sélectionner ses sous-traitants. En effet, cette obligation implique une gestion nouvelle du parc de fournisseurs existants et futurs.
Concrètement, comment s’assurer de la conformité de vos sous-traitants ?
La première étape consiste à lister très précisément l’ensemble des partenaires et sous-traitants qui sont amenés à traiter les données personnelles des clients ou salariés de votre entreprise. Par exemple, il conviendra d’y inscrire votre fournisseur de logiciel RH, le prestataire en charge de l’hébergement de vos données clients ou encore le prestataire qui procède aux réclamations des clients pour le compte de votre société. Il est important de ne pas sous-estimer la charge de travail que représente cette première tâche, de même que d’intégrer la nécessité d’impliquer différents acteurs. Il apparaît indispensable d’impliquer à minima le service achats, le service juridique et/ ou la conformité dans cette revue des prestataires et partenaires. En effet, cette tâche peut se révéler extrêmement chronophage au sein d’entreprises qui ne maîtrisent pas l’ensemble du cycle contractuel ou qui n’ont pas encore prévu d’espace dédié pour le stockage de leurs contrats.
Une fois cette liste établie, débute alors la lourde tâche de revue des contrats vous liant à ces entreprises. Cette revue est souvent l’occasion de constater qu’il n’y a pas toujours de contrat entre vous et vos prestataires. S’il est souvent d’usage de se limiter à la validation d’un bon de commande ou à une acceptation orale, ces pratiques ne seront pas conformes au RGPD. En effet, l’article 28 du règlement précise que le contrat entre le responsable de traitement et le sous-traitant se présente nécessairement sous forme écrite, y compris en format électronique. Il faudra alors, pour ces accords non formalisés, de même que pour les contrats existants, procéder à une mise à jour des clauses relatives aux données personnelles.
Pour vous aider dans cette tâche, voici la check list des clauses essentielles pour assurer la
conformité RGPD :
1. Clause assurant le respect des droits des personnes :
En tant que responsable de traitement, il est de votre responsabilité de vous assurer que les droits des personnes relatifs à la protection des données personnelles sont bien respectés, même lorsque ces données sont traitées par un prestataire. Aussi, il faudra prévoir dans cette clause que votre sous-traitant s’engage à collaborer pleinement afin de répondre dans le délai imposé par la loi aux demandes des personnes concernées. Le sous-traitant doit ainsi s’engager à vous transmettre toute demande d’exercice des droits qui pourrait lui parvenir directement et à exécuter dans les délais impartis, toute demande de votre part quant à la mise en œuvre d’un droit. Par exemple, si une personne exerce son droit d’opposition à un traitement effectué par votre sous-traitant, ce dernier devra cesser le traitement dès réception de votre demande. Il est également recommandé de transmettre votre politique et/ou procédure de gestion des droits des personnes au moment de la signature du contrat.
2. Clause de sécurité :
Cette clause constitue l’un des points fondamentaux en matière de protection des données puisqu’elle permet de définir le niveau de sécurité à exiger de la part de votre sous-traitant en fonction de la catégorie des données et de la nature du traitement. En outre, l’article 29 rappelle également que le sous-traitant est tenu de traiter les données personnelles uniquement sur instruction du responsable de traitement. Ainsi, il est de votre devoir de vous assurer que votre sous-traitant met en œuvre les mesures de sécurité appropriées aux données personnelles traitées, de même qu’à la finalité des traitements. En pratique, il convient de vérifier par exemple que l’accès aux données personnelles est restreint uniquement aux personnes habilitées et formées aux enjeux de la protection des données ou que des politiques de sécurité (dont la gestion des accès) sont mises en œuvre. Il est également nécessaire de prévoir la réalisation de tests réguliers de ces mesures de sécurité afin de confirmer qu’elles répondent parfaitement et à tout moment aux exigences de la réglementation.
3. Clause de notification d’une violation de données personnelles :
La notification de violation de données personnelles à l’autorité de contrôle constitue l’un des apports majeurs du RGPD. En effet, le responsable de traitement a désormais l’obligation de notifier à son autorité de contrôle toute faille de sécurité dans les 72h suivants la découverte de la violation. Lorsque le responsable de traitement fait appel à un sous-traitant, il doit s’assurer que ce dernier collaborera pleinement afin de respecter cette obligation. Il est important de rappeler qu’en cas de manquement à cette obligation spécifique, la responsabilité du sous-traitant pourra être engagée et il s’expose alors aux mêmes sanctions que le responsable de traitement. Cela constitue un argument à mettre en avant lors de votre négociation face à des sous-traitants souvent réfractaires à propos de cette obligation. Cette clause devra prévoir que le sous-traitant a mis en place toutes les mesures techniques lui permettant de détecter la violation de données personnelles, de la faire remonter jusqu’à vous dans un délai très court afin que votre entreprise soit en capacité de notifier à l’autorité de contrôle dans les 72h. Il faut également anticiper et organiser les situations où la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées puisqu’il sera alors obligatoire de prévenir ces personnes de la violation de leurs données personnelles.
4. Clause de transfert :
Très encadrés par le RGPD, les transferts hors de l’Union européenne sont également à prévoir dans le contrat. Il est recommandé, dans la mesure du possible, de restreindre au maximum ces types de transferts. Cependant, de plus en plus de sous-traitants étant hors de l’Union européenne, il est difficile en pratique d’interdire complètement ces transferts. Il sera alors indispensable d’exiger de la part de son sous-traitant qu’il vous soumette au préalable la liste des pays dans lesquels les données seront traitées. Par exemple, un prestataire de stockage de données devra indiquer les pays dans lesquels sont stockés ses serveurs, y compris ses serveurs secondaires. Le responsable de traitement doit, a minima, obtenir la garantie que le sous-traitant transférera les données uniquement vers les pays préalablement approuvés par vous. En outre, ces transferts hors de l’Union européenne implique également pour le responsable de traitement la nécessité d’en informer les personnes concernées.
5. Clause d’audit :
La clause d’audit, souvent délaissée au détriment des clauses de sécurité ou de notification de violation de données personnelles par exemple, constitue pourtant une clause importante en matière de protection des données. En effet, l’audit permet de vérifier que les mesures mises en place chez le sous-traitant sont correctement appliquées et surtout si elles sont adaptées aux données personnelles traitées. Il est recommandé de prévoir au moins un audit par an sur site ou à distance et d’organiser les modalités et potentielles conséquences de cet audit, notamment les frais d’audit, la durée, le délai de prévenance, les mesures à adopter suite aux résultats de l’audit etc. Il est également recommandé de rappeler dans cette clause qu’un résultat d’audit négatif est susceptible d’entraîner la rupture du contrat car le respect des obligations liées à la protection des données constitue une obligation essentielle du contrat.
D’autres clauses peuvent également être ajoutées en fonction de la criticité des données et des traitements effectués par le sous-traitant, notamment la clause de répartition de la responsabilité entre les parties en cas de sanction ou encore la clause organisant la destruction ou restitution des données à la fin du contrat. Toutes ces clauses doivent évidemment être adaptées en fonction de l’activité de l’entreprise, de même qu’en fonction du sous-traitant. Une fois ces obligations intégrées dans les contrats avec les sous-traitants, commence alors la laborieuse étape de la négociation.
Nous vous suggérons également la lecture de cet article sur le
MDM, outil indispensable de conformité RGPD