Vous entendez parler depuis maintenant des mois du RGPD, de ses contraintes, de ses avantages et vous souvenez des longues procédures que vous avez dû mettre en place pour vous assurer d’être en conformité avec ce nouveau règlement de protection des données personnelles.
Toutes les entreprises sont concernées à un niveau ou un autre, que ce soit dans leur cœur d’activité ou dans le cadre de leurs actions de marketing et de communication. Chaque base de données nécessite d’être traitée. Si la tâche a pu vous paraître complexe voire particulièrement pénible, elle a également donné à chacun l’opportunité de remettre à plat sa politique de collecte de données, de faire un grand ménage dans ses bases et de s’assurer que celles-ci pouvaient être légalement traitées.
L’un des principaux objectifs du RGPD est de pouvoir tracer de façon précise les flux de données et la façon dont celles-ci transitent d’une structure à une autre. La difficulté va donc résider dans les cas particulièrement fréquents de sous-traitance. Comment alors allier conformité au RGPD et sous-traitance ?
En qualité de responsable de traitement (client), vous devez vous assurer que vos sous-traitants gérant des données personnelles soient en conformité avec le RGPD. Si ce n’est pas le cas, la responsabilité vous en incombera.
En qualité de sous-traitant, il est donc fortement conseillé de prendre les devants et d’informer votre client de votre mise en conformité. Celui-ci doit être averti et en accord avec votre nouvelle politique de gestion des données personnelles. Un avenant à votre contrat devra donc lui être soumis afin de valider ces changements.
Quelques questions vont alors se poser.
- Comment s’assurer que mes clients ont bien saisi et validé les changements réalisés dans notre traitement des données personnelles ?
- Comment gérer, automatiser et contrôler cet envoi d’avenants à l’ensemble de mon portefeuille client ?
- Où et comment stocker la preuve de leur consentement ?
Qu’est ce qu’un sous-traitant ?
Au sens de la CNIL et dans le cadre de l’application du RGPD, vous êtes considéré comme un sous-traitant si “vous traitez des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement”.
Dès que vous avez la responsabilité de gérer, conserver, traiter tout ou partie de certaines données personnelles pour le compte de vos clients, vous êtes un sous-traitant. Cela concerne donc, de façon non-exhaustive, une grande majorité des prestataires de services informatiques et numériques tels que Yousign, des agences de communication, des sociétés de services marketing ou de ressources humaines mais également certaines associations ou organismes publics qui peuvent être amenés à traiter des données personnelles pour le compte d’autres structures.
Pour rappel, dans le cadre du traitement d’un flux de données spécifique, le sous-traitant et le responsable de traitement sont deux entités juridiques distinctes.
Le responsable du traitement est “la personne physique ou morale, une autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel”.
Le sous-traitant est la personne physique ou morale qui traitera ces données à la demande et pour le compte du responsable du traitement.
Par exemple, vous disposez d’une base de données de prospects que vous souhaitez contacter via des campagnes de marketing ciblées. Vous faites pour cela appel à un prestataire de webmarketing.
La société de webmarketing traitera les données que vous lui aurez transmis, elle aura donc le statut de sous-traitant. Vous aurez, de votre côté, le statut de responsable du traitement.
Imaginons maintenant que cette société de webmarketing externalise une partie de ses activités RH (paie, déclarations sociales…). Elle est, dans ce cadre, responsable du traitement pour ce qui concerne les données de son personnel. Le prestataire de services RH sera donc sous-traitant.
Il est donc hautement probable que vous vous retrouviez à la fois sous-traitant pour vos clients et responsable de traitement sur certains traitements de données, que vous ayez ou non vous-même des sous-traitants. Le meilleur moyen de visualiser clairement ces flux de données est de réaliser un schéma en interne identifiant, pour chacun d’entre-eux, les sous-traitants et responsables de traitement.
Les obligations du sous-traitant dans le RGPD
Le RGPD a étendu les responsabilités du sous-traitant vis à vis des données personnelles qu’il traite pour le compte du Responsable de traitement. Si ce dernier est toujours en première ligne en ce qui concerne le contrôle des flux de données et leur traitement, le sous-traitant n’est pas en reste. Selon la CNIL, ses obligations peuvent s’organiser en quatre grands domaines.
Obligation de transparence et de traçabilité
La relation que vous entretenez avec votre client se doit d’être parfaitement transparente. Il est très fortement conseillé de contractualiser les obligations de chacune des parties ainsi que le spectre général de votre mission. L’intérêt est d’avoir un document écrit répertoriant les actions que vous pouvez mener sur les données transmises par votre client ou gérées pour son compte.
Vous devez par ailleurs vous assurer d’avoir l’accord explicite de votre client si vous faites également appel de votre côté à un sous-traitant qui aura accès à tout ou partie des données que vous traitez et dont le client à la responsabilité.
Chaque changement de sous-traitant et donc de modification du flux des données devra faire l’objet d’une notice d’information voire, selon les termes du contrat qui vous unit à votre client, d’un nouvel accord.
“Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.”
Règlement Général sur la Protection des Données, Article 28-2
Prise en compte des principes de protection des données
L’ensemble de vos outils et services doivent, dès leur conception, être en conformité avec le règlement général sur la protection des données.
Vous devez par ailleurs garantir que seules les données nécessaires à la mission qui vous incombe sont conservées et traitées et ce uniquement par les personnes habilitées à le faire.
Obligation de garantir la sécurité des données traitées
Vous devez être en mesure d’assurer à votre client que les données qu’il vous confie sont mises en sécurité. L’ensemble de votre personnel qui traite ces données devra donc être soumis à une obligation de confidentialité vis à vis des informations.
Vous devrez également au terme de votre prestation et selon les demandes de vos clients supprimer et/ou transférer ces données à votre client, sauf si vous devez, en vertu d’une obligation légale, les conserver. C’est par exemple le cas avec les processus de facturation, ou encore, comme le fait Yousign, avec les dossiers de preuves liés à chacune des signatures traitées dans son application.
Obligation d’assistance, d’alerte et de conseil
Etant en charge du traitement des données pour le compte du responsable de traitement, il est convenu que vous devez pouvoir accompagner votre client et le conseiller dans le bon usage des informations traitées. Il vous incombe par ailleurs de l’alerter lorsqu’un risque se présente pour les données ou leur traitement.
Vous êtes ainsi dans l’obligation d’avertir votre client lorsque l’une des demandes qu’il formule dans le cadre de votre mission viole l’une des règles du RGPD.
Le RGPD impose également au sous-traitant de faire tout son possible afin que le responsable du traitement puisse répondre aux requêtes des personnes qui souhaitent exercer leurs droits en matière de protection des données personnelles (accès, portabilité, oubli…) et de les alerter en cas de faille de sécurité.
Comment mettre en place une procédure fiable et sécurisé de changement des règles de confidentialité ?
Cette nouvelle réglementation induit de nouvelles responsabilités tant pour les responsables de traitement que pour les sous-traitants, ainsi que la mise en place de nouveaux process de récolte, traitement et protection des données à caractère personnel.
Vous avez donc dû recevoir ces derniers mois, en tant que professionnel ou particulier, une myriade de mails et notifications vous invitant à consulter et valider les nouvelles conditions générales de protection des données à caractère personnel de vos applications, sous-traitants, réseaux sociaux, e-commerce…
Toutes les entreprises gérant des données ont dû se plier à l’exercice.
En tant que sous-traitant et afin d’être en totale conformité avec le RGPD, vous devez vous assurer que l’ensemble de vos clients ont reçu, consulté et validé ces nouvelles règles en toute connaissance de cause. Cela implique forcément des changements plus ou moins importants dans les termes du contrat que vous aviez engagé avec votre client. Il est donc nécessaire, afin de suivre scrupuleusement les règles, de passer par la signature d’un avenant à votre contrat initial, de nouvelles CGV, voire d’un nouveau contrat.
Une fois ce document rédigé, vous devrez le faire parvenir à l’ensemble de vos clients, assurer le suivi de chacune des procédures et vous assurer que celui-ci a bien été signé par un décisionnaire ou quelqu’un ayant une délégation de signature.
La signature électronique peut vous permettre de faciliter grandement la mise en place de cette procédure. Une application comme Yousign vous permettra de mieux gérer l’envoi massif d’avenants à vos clients, d’assurer le suivi des procédures de signature et d’identifier rapidement celles qui posent problème en échangeant directement sur le document avec vos clients.
Enfin, la création et la conservation durant 10 ans d’un dossier de preuve, inhérentes à toute procédure, représenteront une preuve de consentement irréfutable de l’accord donné par vos clients sur ces nouvelles conditions générales
_
Si de nombreuses structures aujourd’hui se contentent de cocher une case stipulant que vous avez bien saisi leur nouvelle politique de protection des données, la viabilité de cette approche pourrait être questionnée. Est-ce que la nouvelle réglementation générale sur la protection des données ne nécessitera pas, à terme, à demander une signature des CGV qui permettra de s’assurer de l’effective compréhension et validation de celles-ci par les clients et utilisateurs ?