Sous-traitant, un maillon d'une chaîne de conformité
Le sous-traitant occupe un maillon clé d'une chaîne de conformité et interagit avec différents acteurs. Il est parfois en relation contractuelle directe avec le responsable de traitement, et parfois avec le sous-traitant d'un responsable de traitement (un éditeur SaaS sous contrat avec un hébergeur par exemple).
La conformité au RGPD du sous-traitant est une condition essentielle pour assurer la conformité de la chaîne globale de sous-traitance. Mais elle n'est pas suffisante: chaque maillon devra être en capacité de démontrer sa conformité. Via le processus de gestion des fournisseurs, il est nécessaire de garantir que les prestataires, aussi bien en amont qu'en aval de la chaîne de sous-traitance, répondent aux exigences.
Le SMSI, un appui incontournable
Le SMSI, ou système de management de la sécurité de l'information, est un outil incontournable dans le processus de mise en conformité au RGPD. Plus il est mature, c'est-à-dire plus il s'est enrichi de nouveaux référentiels tels que ISO27002, PCI-DSS ou encore le formulaire P6 de l'Agrément HDS, moins il sera complexe de répondre aux exigences du RGPD. En s'appuyant sur l'organisation, les procédures, et les mesures de sécurité existantes, puis en les enrichissant, notamment via les contrôles complémentaires du référentiel ISO27018 relatif à la sécurité des données personnelles dans le cloud, le sous-traitant peut faire converger les deux démarches dans un ensemble cohérent.
Ainsi, la désignation du DPO (Data Protection Officer), la sensibilisation des équipes internes à la protection des données personnelles et aux nouveaux outils à intégrer font partie des étapes indispensables pour intégrer le RGPD en toute sérénité. Aujourd'hui, les sous-traitants s'appuient principalement sur les directives du G29 pour les premiers travaux de mise en conformité. Ces divers éléments ne seront pas les seuls à prendre en compte. Ainsi, nous pouvons nous attendre à de nouvelles directives du G29, à la déclinaison du RGPD en actes délégués, ou encore à la révision de la Loi informatique et libertés puis des décrets d'application. Afin d'anticiper ces éventuels changements, il est utile de rester en veille permanente afin d'ajuster les travaux réalisés, en cours et à venir.
À lire aussi:
Contrats fournisseurs: la protection des données personnelles renforcée par le RGPD