Déléguer vos opérations de traitement de données, La Clefs pour une gestion efficace et rigoureuse des vos sous-traitants

Pour mener à bien vos activités, votre organisme collecte et traite sûrement des données à caractère personnel – que ce soit pour organiser en interne vos ressources humaines, suivre vos dossiers clients ou simplement pour permettre l’exécution d’un contrat.

Il se peut également que, pour poursuivre sereinement ses missions, votre entité ait décidé de les confier à des tiers.

Exemples : recourir à une agence de communication pour mener une action marketing ou pour réaliser une étude de marché ; externaliser la prise en charge de vos relations de clientèle par un centre d’appel, etc.

Quitte à enfoncer des portes ouvertes, nous vous rappelons que le fait de déléguer ces tâches ne vous exempte en rien de respecter la législation en vigueur en matière de protection des données à caractère personnel. Au contraire, les textes encadrent strictement ces relations de sous-traitance.

Si les conseils sur les réflexes à adopter dans ce contexte sont souvent précieusement gardés par les plus avertis, RGPD-Experts entend bien faire sauter le verrou sur ces bonnes pratiques.

ZOOM SUR LA RELATION DE SOUS-TRAITANCE PROJETÉE

Avant même d’envisager comment suivre nos recommandations, il convient de vous poser ces questions :

Êtes-vous vraiment impliqué dans une relation de sous-traitance au sens du RGPD ?

La notion de « sous-traitant » doit ici être uniquement interprétée selon la législation sur la protection des données personnelles, sans être influencée par d’autres définitions juridiques ou commerciales.

Exemple : un constructeur automobile fait réparer les moteurs défectueux de ses véhicules par un garage spécialisé, via une lettre de mission stipulant la référence de la pièce ainsi que les dysfonctionnements constatés. Ce mécanicien est sous-traitant d’un point de vue commercial, mais pas au sens du RGPD.

A l’inverse, si le constructeur automobile communique au mécanicien des informations personnelles sur ses clients afin qu’il puisse intervenir à leur domicile pour résoudre la panne (identité, adresse, n° de téléphone, etc.), une relation de sous-traitance existera ici au sens du RGPD.

Quelle sera votre qualité réelle dans le cadre de l’activité de traitement déléguée ?

Il convient de vous interroger sur le rôle que jouera concrètement votre organisme dans les opérations de traitement confiées[1]. En effet, votre statut conditionnera l’ampleur de vos obligations légales.

De façon simplifiée, le critère de distinction entre les qualités de « responsable de traitement », « responsables conjoints de traitement » et « sous-traitant » réside dans votre degré d’influence sur certains éléments clés du traitement.

Votre qualité s’apprécie selon le pouvoir de décision qu’exerce dans les faits votre organisme quant à la mise en œuvre du traitement. Elle ne saurait découler de votre seule désignation comme responsable de traitement ou sous-traitant dans un contrat.

[1]  La question de la qualification des acteurs du traitement devra être posée pour chaque séquence de ce traitement. Un organisme peut en effet être considéré comme responsable de traitement pour certaines étapes du traitement et sous-traitant pour d’autres.

Responsable de traitementResponsables conjoints de traitementSous-traitant
Il détermine les finalités du traitement (le « pourquoi », l’objectif principal de l’utilisation des données personnelles) ET ses moyens essentiels (le « comment » et, les modalités principales de mise en œuvre du traitement).Les finalités et moyens essentiels du traitement sont décidés factuellement par plusieurs acteurs impliqués dans une même activité de traitement.Il traite des données personnelles « pour le compte du responsable de traitement ».
Il ne peut exploiter et manipuler les informations personnelles mises à sa disposition que sur instructions du responsable de traitement et conformément à ces mêmes instructions.

Si ces définitions, véritables clés de voute de la relation de sous-traitance, peuvent sembler limpides à première lecture, la qualification des acteurs du traitement ne coule pas tant de source en pratique… 

Exemple : Vous décidez de souscrire un abonnement de stockage en nuage (« cloud »). Quand bien même vous ne disposez que de peu de possibilités de personnaliser ce service et que les termes des conditions générales de vente sont rédigés unilatéralement par le fournisseur, ce dernier n’agit qu’en tant que sous-traitant. En effet, il ne traite pas les données personnelles que vous hébergez chez lui à ses propres fins, mais se contente de stocker des informations pour votre compte. Vous demeurez ainsi responsable de traitement.

AVANT  : l’évaluation préalable du degré de conformité du sous-traitant pressenti

La première exigence pesant sur le responsable de traitement, souvent ignorée du public, est pourtant la plus importante : il ne peut faire appel qu’à des sous-traitants présentant « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées » (Article 28(1) RGPD).

Ne prenez pas de risques inutiles : pas question de déléguer le traitement de vos données personnelles à n’importe qui ! Après tout, mauvaise serrure attire le crocheteur…

Exemples : vérifiez si votre interlocuteur s’est vu délivrer une certification telle qu’une norme ISO, s’il a désigné un Délégué à la Protection des Données, s’il dispose d’un Plan d’Assurance Sécurité (PAS), si les mentions de son site Internet sont valablement rédigées, examinez les pratiques et procédures adoptées en interne en la matière, etc.

Ce devoir préventif suppose d’opérer une sélection des candidats à vos appels d’offres ou partenariats commerciaux selon leur respect des exigences du RGPD, et de refuser de former des partenariats avec les organismes incapables d’offrir un niveau de protection suffisant de vos données. Et pour cause, le responsable de traitement ayant confié ses données un tiers non conforme engage sa responsabilité…

PENDANT : l’encadrement strict de la conclusion des relations de sous-traitance

Les textes imposent non seulement que cette prestation de service fasse l’objet d’un contrat écrit ou tout acte juridique contraignant, mais aussi que cet accord comporte certaines mentions obligatoires : description de la finalité/durée du traitement, hypothèse de sous-traitance secondaire, obligation de confidentialité ou en cas de violation de données, devoir d’assistance et de coopération du sous-traitant…

Il est donc vivement recommandé de former sur ce point vos collaborateurs en charge de la rédaction des appels d’offres, des contrats, ou de la recherche de partenaires contractuels.

L’enjeu : incorporer aux conventions/marchés les clauses appropriées aux risques mis en avant lors de l’évaluation de conformité de votre prestataire, sans cadenasser à outrance la relation de sous-traitance.[1]

[3]] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

ATTENTION : La communication de ces contrats peut être exigée par la CNIL3 en cas de contrôle. Etant précisé que l’autorité régulatrice n’est pas liée par les termes de cet accord, notamment en ce qui concerne la désignation des contractants comme responsable de traitement ou sous-traitant. Elle se réserve ainsi le droit de requalifier les rôles des parties prenantes selon les missions menées par chacune d’elles dans la réalité, afin d’étendre ou réduire leurs obligations respectives…

APRÈS : respecter ses propres impératifs et suivre l’opération sous-traitée

Une fois le contrat de services conclu, le responsable de traitement doit continuer à honorer ses propres devoirs pour assurer la sécurité des données personnelles exploitées, tout en supervisant le déroulement de l’activité de sous-traitance.

Il y a lieu de vérifier régulièrement que vos partenaires respectent en pratique leurs engagements. Ces contrôles peuvent notamment s’opérer par le biais d’auditions, d’inspections ou d’audits.

Nous attirons votre attention sur le fait que, si votre contrat de sous-traitance prévoit la réalisation de telles investigations, celles-ci devront être effectivement conduites. A défaut, et en cas de problème, votre partenaire pourrait invoquer vos carences afin d’échapper à toute responsabilité de sa part.

MAIS AUSSI : tenir à jour la documentation exigée par la loi, et notamment :

  • Le registre des sous-traitants, fichier recensant l’ensemble des prestataires à qui vous avez confié tout ou partie d’un traitement des données (leur identité, coordonnées, date de conclusion et de fin de contrat, s’il existe une hypothèse de transfert de données hors UE ou de sous-traitance secondaire, etc.). Si un tel registre n’est pas expressément requis par les textes, nous vous recommandons vivement d’en constituer un, pour un suivi optimal de vos relations de sous-traitance[1] ;
  • Les éléments relatifs à la fiabilité des sous-traitants choisis, afin d’être en mesure de justifier que vous ne recourez qu’à des sous-traitants fiables ;
  • Les instructions données à votre sous-traitant et l’éventuelle autorisation de ce prestataire à réutiliser les données confiées pour son propre compte.

Ces documents doivent être mis à la disposition du Délégué à la Protection des Données et de l’autorité de contrôle, en application du principe « d’accountability »[2].

[1] Les sous-traitants doivent, quant à eux, impérativement tenir à jour un registre des activités de traitement effectuées pour le compte d’autres organismes.

[2] Pour rappel, ce principe sous-tend que vous vous conformiez aux exigences en matière de protection des données d’une part, et que vous soyez en capacité de démontrer cette conformité en toutes occasions d’autre part.

LES ENJEUX DES RELATIONS DE SOUS-TRAITANCE

Les manquements aux règles décrites ci-dessus engagent la responsabilité du responsable de traitement. Outre des sanctions pécuniaires, la CNIL est susceptible de prononcer des sanctions administratives pouvant aller jusqu’à une interdiction de mettre en œuvre vos traitements de données. Mais surtout, une gestion hasardeuse de vos sous-traitants peut impacter considérablement votre image de marque.

Quel que soit votre organisme (collectivité, entreprise, association, etc.), il est donc essentiel d’encadrer rigoureusement vos relations de sous-traitance si vous ne voulez pas mettre la clé sous la porte.

Outils d’évaluation de la conformité de vos potentiels partenaires, points de vigilance sur le contenu de vos contrats de sous-traitance, aide à la rédaction et à l’actualisation de votre registre des sous-traitants : RGPD-Experts a développé pour vous toutes ces solutions.

L.H

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires