Le RGPD: quels enjeux pour les sous-traitants?
À l'heure de la migration massive des données dans le cloud, l'entrée en vigueur du règlement général pour la protection des données à caractère personnel modifie en profondeur la gestion et la conservation de ces données. Adopté par le Parlement européen, et applicable à partir du 25 mai 2018 à l'ensemble des membres de l'UE, le Règlement européen sur la protection des données (RGPD) est au centre des préoccupations des entreprises. Selon IDC, de nombreuses sociétés vont décider d'externaliser le traitement des données RH afin de limiter leurs risques et de respecter leurs obligations de conformité. Alors comment assurer la conformité des entreprises à moins d'un an de l'applicabilité du RGPD? En tant que sous-traitant, quelles sont les précautions à prendre en compte pour intégrer les nouvelles exigences du RGPD en toute sérénité?
Sous-traitant, un statut déjà existant, désormais plus exigeant
Un sous-traitant dispose d'un mandat de traitement des données personnelles défini par le responsable de traitement et agit sur instruction du responsable de traitement. Le mandat est principalement formalisé par les contrats qui lient le sous-traitant à ses clients. Ainsi, une mise à jour active et continuelle des modèles de contrats en intégrant directement les clauses obligatoires décrites à l'article 28 du RGPD permet dans un premier temps d'être conforme contractuellement. Afin d'établir les rôles et responsabilités en matière de protection des données personnelles, une politique et une matrice de responsabilité type peuvent également être établies.
Se positionner comme partenaire de confiance
Le RGPD insiste sur les devoirs du sous-traitant:
Lire aussi : Transparence salariale : il va falloir s'y mettre !
- Un devoir de conseil, notamment sur les sujets de sécurité,
- Un devoir d'assistance en cas de demande des personnes concernées,
- Un devoir de coopération, par exemple en cas de contrôle de la CNIL.
Des devoirs qui nécessitent de se positionner comme partenaire de confiance pour ses clients. Une confiance et une coopération mutuelles d'autant plus indispensables que les sanctions sont désormais partagées, le sous-traitant pourra être contrôlé et sanctionné par la CNIL au même titre que l'est aujourd'hui le responsable de traitement.
Sous-traitant, un maillon d'une chaîne de conformité
Le sous-traitant occupe un maillon clé d'une chaîne de conformité et interagit avec différents acteurs. Il est parfois en relation contractuelle directe avec le responsable de traitement, et parfois avec le sous-traitant d'un responsable de traitement (un éditeur SaaS sous contrat avec un hébergeur par exemple).
La conformité au RGPD du sous-traitant est une condition essentielle pour assurer la conformité de la chaîne globale de sous-traitance. Mais elle n'est pas suffisante: chaque maillon devra être en capacité de démontrer sa conformité. Via le processus de gestion des fournisseurs, il est nécessaire de garantir que les prestataires, aussi bien en amont qu'en aval de la chaîne de sous-traitance, répondent aux exigences.
Le SMSI, un appui incontournable
Le SMSI, ou système de management de la sécurité de l'information, est un outil incontournable dans le processus de mise en conformité au RGPD. Plus il est mature, c'est-à-dire plus il s'est enrichi de nouveaux référentiels tels que ISO27002, PCI-DSS ou encore le formulaire P6 de l'Agrément HDS, moins il sera complexe de répondre aux exigences du RGPD. En s'appuyant sur l'organisation, les procédures, et les mesures de sécurité existantes, puis en les enrichissant, notamment via les contrôles complémentaires du référentiel ISO27018 relatif à la sécurité des données personnelles dans le cloud, le sous-traitant peut faire converger les deux démarches dans un ensemble cohérent.
Ainsi, la désignation du DPO (Data Protection Officer), la sensibilisation des équipes internes à la protection des données personnelles et aux nouveaux outils à intégrer font partie des étapes indispensables pour intégrer le RGPD en toute sérénité. Aujourd'hui, les sous-traitants s'appuient principalement sur les directives du G29 pour les premiers travaux de mise en conformité. Ces divers éléments ne seront pas les seuls à prendre en compte. Ainsi, nous pouvons nous attendre à de nouvelles directives du G29, à la déclinaison du RGPD en actes délégués, ou encore à la révision de la Loi informatique et libertés puis des décrets d'application. Afin d'anticiper ces éventuels changements, il est utile de rester en veille permanente afin d'ajuster les travaux réalisés, en cours et à venir.
À lire aussi:
Contrats fournisseurs: la protection des données personnelles renforcée par le RGPD
Sur le même thème
Voir tous les articles Réglementation