Audit RGPD des sous-traitants : comment faire ?

Le RGPD a apporté une nouveauté majeure dans le domaine de la protection des données personnelles : la responsabilisation du responsable de traitement.

A ce titre, il doit travailler avec des sous-traitants qui offrent des garanties suffisantes pour la protection des données. Dans ce contexte, un audit des sous-traitants peut être incontournable pour vérifier la conformité de ces derniers.

Afin de comprendre comment procéder à cet exercice, il convient de maîtriser :

  • le rôle du sous-traitant au regard du RGPD ;
  • les obligations du sous-traitant ;
  • la méthodologie à suivre pour effectuer des audits.

Les acteurs de la sous-traitance

Le responsable de traitement est l'entité (personne morale, organisation, entreprise, etc.) qui détermine les finalités et les moyens du traitement des données personnelles. Il lui appartient de prendre toutes les mesures techniques et organisationnelles pour assurer l'intégrité des données qui lui sont confiées.

Exemple : un e-commerce qui recueille des informations sur ses clients (nom, adresse, etc.) pour envoyer les commandes est un responsable de traitement. Cette entreprise décide des renseignements qu'elle collecte, de la manière dont elle les utilise et à quelles fins.

Le sous-traitant est un organisme choisi par le responsable de traitement pour effectuer des traitements de données conformément aux ordres de ce dernier.

Exemple : des fournisseurs de logiciels (comme Leto) ou de services (comme une agence de communication) sont des sous-traitants puisqu'ils agissent sur instruction de l'entreprise cliente (le responsable du traitement).

RGPD : les obligations du sous-traitant en matière de conformité

Assistance au responsable du traitement

Le sous-traitant doit assister son client dans plusieurs cas de figure :

  • la demande d'exercice des droits des personnes concernées (accès, rectification, suppression des données, etc.).
  • la gestion des incidents et, le cas échéant, les notifications à la CNIL et/ou aux personnes concernées.  Le sous-traitant est tenu d'informer dans les meilleurs délais le responsable de traitement en cas de violation des données. Ce délai peut être précisé dans le contrat entre le responsable de traitement et le sous-traitant.
  • la réalisation d'Analyse d'Impact relative à la Protection des Données (AIPD) : le sous-traitant doit coopérer avec le responsable du traitement pour la réaliser.
  • la coopération avec la CNIL : le sous-traitant doit coopérer avec les autorités de protection des données à la demande du responsable de traitement.

Sécurité des données personnelles

Le RGPD exige que le sous-traitant mette en place des mesures techniques et organisationnelles pour assurer un niveau de sécurité suffisant des données personnelles confiées. Les mesures sont souvent décrites dans un document dédié et qui doit être remis au responsable du traitement.

Les salariés du sous-traitant doivent également être soumis à un engagement de confidentialité.

Obligation de transparence

Le sous-traitant doit traiter les données personnelles du responsable de traitement en respectant ce qui a été prévu par le contrat et en assurant la communication de toutes informations utiles au responsable de traitement.

A ce titre, les points d'attention sont les suivants :

  • Contractualisation : l'article 28-3 du RGPD impose qu'un contrat soit conclu entre le sous-traitant et le responsable de traitement ;
  • Sous-traitants ultérieurs : le sous-traitant doit a minima informer le responsablement de traitement qu'il fait appel à des sous-traitants ultérieurs. Suivant le contrat signé, le responsable de traitement peut également demander une l’autorisation préalable avant de faire appel à un sous-traitant ultérieur.  
  • Registre des activités de traitement : il doit documenter ses activités de traitement en précisant les catégories d'activités effectuées pour le compte du responsable de traitement, les mesures de sécurité, etc.
  • Audit : il lui incombe naturellement de faciliter la tâche au responsable de traitement lorsque des inspections sont nécessaires pour vérifier que le sous-traitant prend les garanties adéquates pour la protection des données.

Audits des sous-traitants

Lister de façon exhaustive vos sous-traitants

Vous n'avez pas attendu le RGPD pour faire des affaires. Vous avez sans doute des sous-traitants historiques comme :

  • des prestataires de services (agence marketing) ;
  • des consultants (avocats, experts-comptables) ;
  • des fournisseurs d'outils SaaS (espace de stockage, d'échanges, logiciels métiers).

Le plus souvent, cette liste ne s'arrête pas là. Selon votre industrie et les missions confiées, vos sous-traitants peuvent aussi avoir recours à d'autres sous-traitants.

L'un des dangers réside dans le fait que les données personnelles puissent être transférées dans des pays tiers non soumis au RGPD ou être transmises à un prestataire qui ne respecte pas les exigences du RGPD.

Vérifier les contrats de sous-traitance

On les appelle aussi Data Processing Agreement (DPA). Le contenu de ces contrats est détaillé à l'article 28-3 du RGPD : objet, durée, nature et finalité du traitement, type de données personnelles et catégories de personnes concernées, obligations et droits du responsable du traitement.

Pour les obligations du sous-traitant, on trouve notamment :

  • traitement des données personnelles selon les instructions documentées du client ;
  • engagement à ce que les personnes autorisées à traiter les données personnelles respectent la confidentialité ;
  • sort des données personnelles au terme de la prestation de services ;
  • mesures de sécurité ;
  • possibilité pour le responsable de traitement de justement effectuer des audits ;
  • ect...

Nous vous conseillons donc de prévoir des contrats types à faire signer à vos sous-traitants et de vérifier les DPA des sous-traitants que vous utilisez.

Mener une enquête pour détecter des non conformités

Tout d'abord, analysez les documents de sécurité mis à disposition par le sous-traitant afin d'évaluer leur niveau de maturité. Vous pouvez également demander à votre sous-traitant s'il est conforme à une norme de sécurité (ISO, SOC...).

Si les documents ne suffisent pas ou que le sous-traitant n'est pas capable de les fournir, un travail sur le terrain s'impose : armez-vous de questionnaires ou rendez-vous sur site. L'idée est d'être au plus proche du quotidien de vos sous-traitants pour repérer une éventuelle non-conformité.

Vous devrez être vigilant sur le respect des instructions, la gestion de l'exercice des droits, la façon dont les données sont traitées (conformément aux finalités prévues), leur suppression, etc.

Tester la sécurité des données

En cas de doute, vous pouvez également vous faire accompagner d'un professionnel pour analyser les mesures de sécurité mises en place par vos sous-traitants : test d'intrusion ("Pentest"), évaluation des habilitations et des accès physiques...

Selon les cas, il sera nécessaire que le sous-traitant prenne des mesures pour sa conformité : pseudonymisation ou chiffrement des données, processus pour rétablir la disponibilité des données en cas d'incident, procédures pour tester régulièrement la fiabilité des systèmes...

Suivre la conformité de façon régulière

La conformité est un exercice sur le long terme et demande une analyse régulière des activités de vos sous-traitants.

Le suivi régulier permet de détecter rapidement les écarts, de faciliter la mise en œuvre de solutions de réajustement et de garder vos sous-traitants en alerte sur ces sujets.

Conclusion

La sous-traitance n'est pas sans danger pour le responsable de traitement en cas de défaillance de ce dernier :

  • Risque financier : le fait de ne pas faire appel à un sous-traitant qui ne présentait pas les garanties suffisantes peut entraîner des amendes allant jusqu'à 2 % du chiffre d'affaires annuel mondial ou 10 millions d'euros.
  • Risque réputationnel : une violation de données de la part du sous-traitant peut nuire à votre image auprès des clients ou des partenaires.
  • Risque organisationnel : une mauvaise gestion des données par le sous-traitant peut conduire à altérer l'intégrité des données, impactant les opérations du responsable du traitement.

Le sous-traitant sera également responsable de ses propres obligations avec des amendes allant jusqu'à 2 % du chiffre d'affaires annuel mondial ou 10 millions d'euros.

Leto peut vous épauler pour gérer les relations avec vos sous-traitants : mise à disposition des éléments contractuels de vos sous-traitants, recherche de clauses contractuelles types et notifications.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?