B-RGPD-reminder-5

L’enjeu de la sous-traitance

La sous-traitance est souvent un passage obligé pour bon nombre de sociétés. Celle-ci leur permet d’externaliser les RH, la logistique ou toute autre tâche que l’entreprise ne peut gérer elle-même. Mais les sous-traitants ont souvent besoin de données pour mener à bien la mission dont ils ont la charge, des données qui doivent être aussi bien protégées que celles détenues en interne.

L’entreprise qui fait appel à des sous-traitants a la responsabilité de s’assurer de leur fiabilité, notamment avec la signature d’un contrat spécifique. Celui-ci a pour but de définir clairement l’objet, la durée, la finalité du traitement et les obligations des deux parties. Ces contrôles de la sous-traitance ont pour objectif de maîtriser la donnée partagée à des tiers.

Vous voulez tout savoir sur le RGPD ?

Ressource-Livre-Blanc-RGPD

La sous-traitance en pratique

Pour être conforme au RGPD, il est nécessaire de suivre quelques précautions élémentaires. Ne travailler qu’avec des sous-traitants qui possèdent des garanties minimales (Demander au prestataire un récapitulatif de sa politique interne de sécurité des systèmes d’information). Penser à prendre connaissance des moyens (audits de sécurité, visite des locaux, etc.) utilisés par le prestataire pour assurer une protection des données effective. Ces garanties peuvent être multiples, comme par exemple :

  • Un chiffrement des partages de données (VPN, HTTPS, etc.)
  • Un chiffrement des données en tenant compte des sensibilités de chacune, ou bien des contrôles spécifiques qui assurent que le prestataire n’a pas accès aux données dont il n’a pas besoin.
  • Demander des garanties sur les capacités du sous-traitant à protéger son réseau, assurer une traçabilité (audit, journaux), organiser des authentifications, des habilitations, etc.

Il est nécessaire d’établir un contrat avec les sous-traitants, celui-ci devra spécifier les dispositions suivantes :

  • Les règles de gestion et de notification des incidents. A noter qu’elles devront contenir une information du responsable de traitement, dans le cas où une faille de sécurité ou un incident serait découvert, avec délais de réaction réduit au maximum lorsqu’il s’agit d’une violation de données personnelles.
  • Les contraintes à minima en terme d’authentification des utilisateurs.
  • Leur obligation en matière de confidentialité des données personnelles utilisées.
  • Les dispositions en matière de restitution et/ou destruction des données à la fin de la mission / du contrat;

Enfin, il ne faut pas démarrer une prestation de sous-traitance tant que vous n’avez pas signé un contrat avec le prestataire concerné. Ce contrat devra reprendre les exigences déterminées par l’article 28 du Règlement général sur les protection des données (RGPD). De même, il est nécessaire de s’assurer de la localisation géographique effective des données stockées dans un service de cloud, notamment s’assurer des conditions légales et de formalités auprès de la CNIL pour les transferts de données hors Union européenne.

R-RGPD-reminder-5

Questions à se poser

  • Confiez-vous vos données à des sous-traitants de confiance ?
  • Avez-vous signé un contrat spécifique avec vos sous-traitants (concernant la protection des données confiées) ?
  • Votre sous-traitant protège-t-il bien ses données en interne ?

Source utile :

La sous-traitance dans le RGPD