News

RGPD : quels changements avec vos prestataires ?

Recevoir la newsletter

Le RGPD – ou Règlement Européen pour la Protection des Données – rentre en action le 25 mai prochain. Mis en place au niveau européen, il a pour but d’apporter plus de transparence sur les données collectées par les organisations et d’améliorer leur protection. La responsabilité des entreprises est au cœur de ce règlement.
Dans un monde (et une entreprise) de plus en plus digitalisés, un changement dans la collecte et le stockage des données en ligne signifie un profond changement dans la manière de travailler. Plus qu’un changement de cadre légal purement théorique, le RGPD bouscule ainsi les process internes et externes de l’entreprise. Le choix de vos prestataires influera ainsi sur votre compliance avec le RGPD. 
Il s’agit non seulement de vous assurer que vous soyez en conformité avec ce règlement, mais aussi de faire attention à ce que les prestataires avec lesquels vous travaillez soient eux-mêmes en conformité avec celui-ci.
Concrètement, que va donc changer le RGPD dans votre relation avec vos prestataires ?

Qu’est-ce qu’un sous-traitant selon le RGPD ?

First things first : selon la définition du RGPD, un sous-traitant est une organisation qui a accès et traite des données personnelles. Adresse emails, âge, profession sont par exemples des données personnelles. En somme, tout organisme qui traite des données personnelles pour le compte d’un responsable de traitement (c’est vous) est un sous-traitant.

Il y a fort à parier que votre entreprise – et vous-même – traitez au jour le jour des tas de ces données. Et que vous externalisez au moins une partie de leur traitement via des CRMs et SaaS divers, des agences de marketing et des SSII, des outils d’automation et de stockage sur le Cloud. Tous ces outils digitaux et services rendent votre vie plus facile – et c’est le but – impossible de travailler autrement aujourd’hui.

Le RGPD vient simplement renforcer la sécurité et la protection des données fournies par les utilisateurs, salariés aussi bien que clients, en vous invitant (poliment) à évaluer votre relation avec ces parties tierces.

Ca n’est pas à vous qu’il faut rappeler l’importance de ces données sensibles : ces données vous ont été confiées et sont donc sous votre responsabilité, une fuite ou perte de ces données vous porterait donc préjudice au niveau légal, mais aussi commercial.

Votre relation évolue

Le RGPD vous incite ainsi à réévaluer les prestataires avec lesquels vous travaillez. Les objectifs et conditions de traitement des données que vous leur confiez doivent être écrits noir sur blanc.

La première étape, c’est donc de revisiter les clauses de votre contrat avec vos sous-traitants actuels mais aussi avec les nouveaux. Les droits et les devoirs de chaque partie doivent être clairement communiqués et définir :

  • Le type de prestation que le prestataire effectue en votre nom,
  • La durée de la prestation,
  • La nature et l’objectif du traitement,
  • Le type de données personnelles collectées et traitées,
  • Les personnes concernées par ce traitement.

Votre sous-traitant devra ensuite tenir un document dans lequel vous trouverez les points précédents, mais également les instructions que vous lui fournissez concernant le traitement de ces données. Il vous fournira par ailleurs les informations nécessaires pour garantir le respect de ses obligations et faciliter la mise en place d’audits. En tant qu’expert, il est également tenu de vous informer si les instructions que vous lui fournissez vont à l’encontre du RGPD.

Vous l’aurez compris, plus qu’une simple relation de client à sous-traitant, il s’agit de travailler en équipe pour s’assurer de votre conformité au RGPD. Les prestataires avec lesquels vous choisissez de travailler ne vous fournissent plus un simple service ; ils vous accompagnent et vous informent également sur les éléments à mettre en place pour votre compliance. 

C’est un pas en avant dans votre relation avec eux. En quelque sorte, le RGPD est cette personne qui vous encourage à aller plus loin dans votre relation et à la cadrer pour plus de sécurité.

Et s’il n’est pas Européen ?

L’ouverture à l’international c’est bien, et c’est vrai que les géants Américains (pour ne citer qu’eux) sont à la pointe de l’innovation sur différents sujets. Mais le RGPD, en tant que règlement européen protecteur de ses citoyens, vous incite à faire attention à qui vos fréquentations.

On s’explique : il vous incombe désormais de savoir où vont vos données. Si elles sortent du territoire européen pour atterrir dans des contrées lointaines où les lois ne sont pas les mêmes, alors vous devrez suivre quelques étapes supplémentaires pour être en conformité avec le RGPD.

Ces sous-traitants que vous utilisez, dans la mesure où ils traitent des données européennes, sont ainsi soumis à une réglementation spécifique. Ils doivent créer des Binding Corporate Rules (ou BCR) : un document qui définit leur politique pour les transferts de données à caractère personnel en dehors de l’Union Européenne. Ces BCRs sont ensuite validés (ou non) par une autorité comme la CNIL en France.

Ils doivent également s’engager à former leur personnel quant aux règles de ce-dit BCR et prévoir une procédure d’audit + une procédure interne de gestion des plaintes.

Ca rigole pas.

Mais comme on l’a vu plus haut, ça n’est pas juste leur problème. Si vous travaillez avec des prestataires hors-UE, il en va de votre responsabilité de s’assurer qu’ils respectent bien ces formalités de leur côté, puisque votre compliance dépend également de la compliance des sous-traitants avec lesquels vous travaillez. 

Quel que soit l’endroit où sont juridiquement établis vos prestataires, il vous appartient de s’assurer de leur conformité avec le RGPD. Revisiter les clauses de vos contrats existants est fondamental afin de savoir à quoi vous en tenir, même si la procédure peut être longue et fastidieuse en cas de prestataires non-européens.

 

Mais vous pouvez aussi décider de voir le verre à moitié plein : le RGPD est THE opportunité pour aller plus loin dans votre transformation digitale avec des prestataires de confiance à vos côtés. Préparer votre conformité est ainsi l’occasion parfaite de faire le point sur vos contrats et de vous rapprocher de prestataires engagés dans la protection de données (vous voyez de qui on veut parler ? ;)