L'entrée en application du RGPD n'a épargné aucune entité. Certes, le responsable de traitement semble être en première ligne, mais la protection des données personnelles concerne également les sous-traitants.
Si vous travaillez régulièrement pour le compte d'une entreprise, certaines obligations vous incombent. Vous pensiez être épargné par le fait que vous ne faites qu'obéir à une commande ? Malheureusement, il n'en est rien.
Néanmoins, il se peut que vous vous sentiez perdu sur l'étendue de vos responsabilités. Pour y voir plus clair, nous vous proposons d'aborder les sujets suivants :
- la différence entre responsable de traitement et sous-traitant ;
- les données à caractère personnel en votre possession ;
- les obligations imposées par le RGPD ;
- la documentation du sous-traitant.
Responsable de traitement et sous traitant
Une entreprise vous confie une donnée permettant d'identifier une personne dans le cadre d'une mission précise ? Alors, il s'agit d'une donnée personnelle dont le traitement est soumis au RGPD.
Définition des acteurs
Rendez-vous tout simplement aux articles 4-7 et 4-8 du RGPD pour bien différencier le responsable du traitement du sous-traitant :
- le responsable du traitement est la personne physique ou morale, qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ;
- le sous-traitant est l'entité qui traite des données à caractère personnel pour le compte du responsable du traitement.
Au regard de la définition du RGPD, il existe de nombreux prestataires qui peuvent prétendre au titre de sous-traitant, et ceci est d'autant plus évident dans le domaine du BtoB. Il importe peu votre chiffre d'affaires, votre taille, votre domaine d'activité ou l'importance de la mission confiée.
Exemples de sous-traitant dès lors que des données personnelles vous sont confiées : les prestataires informatiques, les logiciels SAAS, les agences de communication, les professionnels du droit et du chiffre auxquels vous faites appel, etc.
Attention ! Cette qualification peut varier selon les situations. Vous pouvez tout à fait être responsable de traitement lorsque vous traitez des données pour votre propre compte (prospection commerciale ou recrutement pour le développement de votre entreprise) et sous-traitant lorsqu'une entreprise fait appel à vos services ou produits.
Sous-traitance RGPD : conséquences
Le RGPD n'impose pas les mêmes contraintes en matière de protection des données selon votre statut.
L'article 28 du règlement européen désigne l'ensemble de vos engagements parmi lesquels :
- la transparence et la traçabilité ;
- le principe de privacy by design et le principe de privacy by default ;
- la sécurité des données traitées ;
- l’assistance, l'alerte et le conseil auprès de son responsable du traitement.
Ces différents principes nécessitent dans les faits de repenser votre organisation et d'impliquer vos équipes.
Cartographie des activités du sous-traitant RGPD
La première étape de votre mise en conformité en tant que vous-traitant RGPD ? Effectuer l'inventaire de toutes les données personnelles qui vous sont confiées par vos différents responsables de traitement.
Cartographie des données à caractère personnel
- Collecte des données : l'objectif est de recueillir de façon exhaustive toutes les données que vous traitez pour le compte de vos clients et pour lesquelles vous engagez votre responsabilité. Vous pourrez alors les classer en fonction de leur sensibilité (données dites sensibles, données financières ou bancaires, etc.), ce qui vous permettra d'évaluer par la suite le niveau de sécurité dont ces données ont besoin.
- Point d'entrée : définissez dans un premier temps de quelle façon votre responsable de traitement vous confie les données personnelles (complétion du logiciel si vous êtes un SAAS ou site web du client si vous avez été mandaté en tant qu'agence de growth marketing ou un chasseur de tête qui doit effectuer un premier tri dans les candidatures, etc.). Dans un second temps, identifiez les bases de données sur lesquelles vous stockez justement les données.
- Traitement des données : en tant que sous-traitant, vous avez l'obligation de connaître parfaitement la vie de vos données (collecte, éventuel transfert à d'autres partenaires, stockage et suppression).
- Finalités de traitement : semblable à ce que vous faites lorsque vous êtes responsable de traitement, ici, en tant que sous-traitant, définissez la finalité, c'est-à-dire, le but précis de la donnée qui vous est confiée. Bien évidemment cette dernière doit être conforme aux instructions du responsable de traitement (marketing, commercial, RH).
Cartographie des responsables de traitements
La sous-traitance concerne finalement toutes les entreprises. A partir du moment où vous avez des clients, vous rentrez dans le périmètre du RGPD dès lors que ces derniers vous confient des données personnelles.
Ceci étant dit, comment avoir une vue exhaustive sur tous vos responsables de traitements pour qui vous effectuez des traitements de données personnelles ?
- Dressez une liste de tous les clients, répondant à la définition du responsable de traitement au sens du RGPD, pour lesquels vous traitez des données personnelles.
- Documentez les instructions de chaque responsable du traitement. Ce dernier doit vous donner des indications précises sur le traitement des données confiées (finalité, conservation, transfert éventuel, mesures de sécurité, etc.).
- Echanger avec le référent RGPD du responsable du traitement. Selon le contexte, il peut même y avoir un DPO. Ce dernier est obligatoire pour les entités dont les activités les amènent à réaliser à grande échelle soit un suivi régulier et systématique des personnes, soit à traiter des données sensibles.
Quid de vos propres sous-traitants ?
Une mission pour laquelle vous n'avez plus de bande passante ? Une fonctionnalité que sous-traitez ailleurs ? Des logiciels que vous utilisez pour faire fonctionner votre propre SAAS ?
Attention ! Dès lors que vous transférez des données personnelles qui appartiennent au départ au responsable du traitement, vous devenez un sous-traitant qui sous-traite.
Est-ce interdit ? Non pas automatiquement à condition d'obtenir l'autorisation écrite de votre client.
Cette dernière peut être spécifique (lorsque vous obtenez l'autorisation pour un sous-traitant donné) ou générale (vous informez votre client, à lui de prendre l'initiative pour émettre des objections).
Le sous-traitant que vous engagez doit respecter les mêmes obligations que celles prévues dans votre contrat avec votre client responsable du traitement. Il doit notamment offrir des garanties suffisantes et mettre en œuvre toutes les mesures techniques et organisationnelles appropriées.
Un problème avec votre propre sous-traitant ? Vous restez responsable aux yeux de votre client.
Obligations du sous-traitant vis à vis du responsable de traitement
Au-delà du fait que vous devez exécuter les traitements de données conformément aux instructions écrites de ce dernier, le RGPD impose au sous-traitant de nombreuses obligations.
Transparence et traçabilité
Dans la mesure où les données "appartiennent" à votre client, il est logique que vous deviez rendre des comptes auprès de ce dernier.
Cela se manifeste par l'obligation d'une part, de respecter les engagements contractuels prescrits par l'article 28 du RGPD et d'autre part de tenir une documentation accessible au responsable du traitement (et qui vous rendra grandement service en cas de violation de données ou d'un contrôle inopiné de la CNIL).
Nous vous conseillons de vous faire accompagner pour :
- rédiger un contrat de sous-traitance conforme au règlement européen ;
- détailler par écrit les instructions de votre client ;
- obtenir l’autorisation écrite de votre client si vous avez recours vous-même à la sous-traitance ;
- tenir un registre de traitements complet.
Assistance et conseil
Vous devez offrir toute votre expertise pour contribuer à la sécurisation des données de vos clients.
Coopération avec le responsable du traitement
En cas de violation de données à caractère personnel, le sous-traitant a l'obligation de notifier le client dans les meilleurs délais après en avoir pris connaissance.
De la même façon, lors de la réalisation d'une analyse d'impact, le sous-traitant a la responsabilité d'aider son client dans la réalisation de cette analyse et lui fournir tout renseignement utile. En revanche, le sous-traitant n'a pas l'obligation d'en rédiger une sur les traitements dont il n'est pas responsable. Mais, cette pratique est toujours la bienvenue !
Exercice des droits
Si un utilisateur demande d'exercer un droit, le sous-traitant doit faire remonter la demande au responsable de traitement pour que ce dernier réponde dans les délais imposés par le RGPD.
Cette assistance est d’autant plus essentielle que le sous-traitant est parfois le mieux placé pour apporter une réponse à l'exercice de ces droits.
Tel est le cas si vous êtes un logiciel sous-traitant les actions de marketing telles que la gestion de la newsletter ou la stratégie de mailing. En cas de désabonnement, vous serez le premier à pouvoir réellement supprimer l'adresse mail de l'utilisateur, à vous dans un second temps d'en référer à votre responsable du traitement.
Ce que conseille la CNIL : la mise en place d'une interface d’exercice des droits des personnes, avec un système de suivi et de répartition automatique des demandes d’exercice des droits. Leto peut remplir parfaitement cette mission !
Mesures de sécurité
Il appartient au sous-traitant de mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
Les différentes mesures varient en fonction de la sensibilité des données, de leur finalité, etc. Les risques de violations ou la gravité des conséquences sur les droits et libertés des personnes physiques conditionnent le degré des mesures à prendre.
Privacy by design et privacy by default
Vous devez offrir à vos clients, responsables de traitement, les meilleures garanties en matière de conformité.
Deux principes à appliquer dans vos process :
- privacy by design : tous les principes de la protection des données doivent être intégrés à la création de vos services et vos outils ;
- privacy by default : les mesures de protection des données doivent être définies par défaut à un niveau de sécurité maximal. Par ailleurs, vos outils ou services garantissent que seules sont traitées les données nécessaires à la finalité du traitement.
Documentation du sous-traitant
La documentation, comme nous l'avons vu précédemment, participe à l'obligation de transparence et de traçabilité auquel est soumis le sous-traitant.
Rédiger un contrat de sous-traitance (ou DPA)
Le contrat de sous-traitance appelé également Data Processing Agreement (DPA) est cadré par l'article 28-3 du RGPD.
On y trouve des clauses classiques comme l'objet, la durée, la nature, la finalité du traitement, etc. Il s'agit d'une synthèse sur la façon dont les données confiées doivent être traitées.
Le contrat précise également les obligations du sous-traitant :
- traitement des données personnelles selon les instructions documentées du client ;
- engagement à ce que les personnes autorisées à traiter les données personnelles respectent la confidentialité ;
- sort des données personnelles au terme de la prestation de services, etc.
Tenir un registre de traitement à jour
Codifié à l'article du 30 du RGPD, le registre de traitement est un document qui recense les activités de traitements des données personnelles. Au-delà de son aspect réglementaire, il s'agit d'un excellent outil pour avoir une vue exhaustive des données personnelles puisqu'il indique :
- le nom et les coordonnées du sous traitant et de chaque responsable de traitement pour le compte duquel le sous-traitant agit ;
- les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
- le cas échéant, les transferts de données personnelles vers un pays en dehors de l'Union Européenne;
- une description générale des mesures de sécurité techniques et organisationnelles.
Rédiger une politique interne
Si vous souhaitez aller plus loin dans la démarche, vous pouvez tout à fait rédiger une politique interne pour rappeler les bonnes pratiques en matière de protection des données.
Pour la rédiger, il convient d'être pragmatique et de l'adapter à chacun de vos services susceptibles de traiter les données personnelles transmises par le responsable du traitement.
- Objectif de la politique : protection des données personnelles traitées le sous-traitant ;
- Champ d’application : personnes concernées par la politique et types de données concernées ;
- Principes de protection des données : rappel des principes de transparence, de minimisation des données, de sécurité et de confidentialité ;
- Procédures de gestion des données : description des procédures à suivre pour la collecte, le traitement, la conservation et la destruction des données personnelles, l'exercice des droits ;
- Gestion des incidents : étapes à suivre en cas de violation des données.
Sensibilisation des collaborateurs
Ce sont souvent les salariés du sous-traitant qui, dans le cadre de leur travail, vont récolter et manipuler des données. Le RGPD est finalement une règlementation très opérationnelle qui demande un investissement des équipes qui sont sur le terrain.
Formation des salariés du sous-traitant
Acculturer les salariés au RGPD est essentiel. Les défaillances étant souvent humaines, il est impératif de les former sur les risques, les principes de conformité, la protection de la vie privée. La politique interne que nous avons détaillée précédemment est une première approche intéressante.
La seconde étape est d'élaborer une formation sur mesure pour que vos équipes se rendent compte de la routine quotidienne à mettre en place.
Une telle formation demande un travail méthodique :
- audit des données traitées par le service et le traitement qui leur est réservé ;
- identification des pratiques dangereuses (formulaires qui ne respectent pas le principe de minimisation, accès informatique non sécurisé, etc.) ;
- élaboration d'un programme théorique (rappel des principes clés) et de préconisations à appliquer au jour le jour ;
- actualisation régulière des supports de la formation et piqures de rappel ;
- désignation d'un responsable RGPD dans le service.
Charte informatique
Besoin de border davantage vos salariés ? Alors, la charte informatique est exactement ce qu'il vous faut.
Il s'agit d'un document juridique contenant les obligations concernant l'utilisation des moyens de communication électroniques en entreprise.
C'est l'occasion de faire un état des lieux sur les mauvaises pratiques pouvant mettre en danger les données à caractère personnel.
Pour rédiger une charte de qualité, voici les étapes à suivre :
- cartographie des moyens informatiques mis à disposition des salariés (messageries, logiciels, ordinateurs, etc.) ;
- définition des besoins auxquels les moyens informatiques répondent : communication avec les équipes, suivi des projets, SAV, etc.) ;
- enquête terrain pour mettre en évidence les comportements à risque (ordinateurs accessibles sans mot de passe, même fichier pour plusieurs services, etc.) ;
- rédaction de la charte sur la base des informations recueillies précédemment. Elle doit être contraignante. Pour cela, prévoyez des sanctions et des contrôles.
- signature afin d'engager vos salariés. En tant que sous-traitant, vous restez responsable de votre équipe. Avec une charte signée, cette dernière prendra une dimension officielle et surtout juridique.
Réponse au questionnaire compliance RGPD
Dans la mesure où votre responsable de traitement doit choisir des sous-traitants avec des garanties suffisantes, il est fort probable que vous soyez soumis à un questionnaire compliance.
Ce dernier peut paraître impressionnant, mais si vous avez déjà mis en place une gouvernance RGPD lorsque vous arborez votre casquette de responsable de traitement, vous devriez vous en sortir.
Alors, comment vous organiser concrètement ?
Identifier les enjeux principaux et les parties prenantes
Si vous nous avez lu jusqu'ici, les questions tourneront autour du respect de la sécurité des données, du droit des personnes, des transferts de données, du devenir des données confiées, etc.
Afin de répondre correctement aux questions, il va falloir mobiliser les équipes opérationnelles qui vont effectivement traiter les données à caractère personnel transmises par le responsable de traitement.
Pour cette étape, désignez un référent RGPD par service et préparez à votre tour un questionnaire lisible, auquel devra justement répondre votre référent, sur la façon dont les futures données seront traitées.
Rassembler et mettre à jour votre documentation
Nous pensons en premier lieu au registre de traitement des données qui aura un double objectif :
- prouver que vous connaissez exactement quelles catégories de données vous traitez pour le compte de votre responsable de traitement ;
- démontrer les mesures que vous avez déjà mises en place pour les données que votre client vous confie (outil d'exercice des droits individuels comme Leto !).
Quand au contrat de sous-traitance, il vous donnera l'occasion de passer en revue les engagements imposés par l'article 28-3 du RGPD :
- obéissez-vous strictement aux instructions de vos clients ?
- les données sont-elles absolument nécessaires dans le cadre de votre mission ?
- vos salariés connaissent-ils exactement les limites imposées par le RGPD ?
- bref, pour chaque point évoqué dans le contrat de sous-traitance, faites en sorte d'être à jour.
Vous avez d'autres documents en votre procession ? Règlement interne, rédaction de politiques internes, modules de formation à destination des collaborateurs, etc.
Rajoutez toutes les preuves de vos démarches compliance : selon votre secteur, le respect du RGPD devient un critère de sélection. Il serait dommage de perdre un marché à cause de cela !
Structurer votre méthodologie
Evitez les réponses au coup par coup, c'est chronophage et vous risquez d'oublier des éléments. Autrement dit ? Soyez stratégique et dressez un tableau de bord qui vous aidera dans votre dossier.
- listez toutes les instructions de votre client ;
- identifiez les données strictement nécessaires à la réalisation de votre mission ;
- définissez quelles sont les parties prenantes internes et prouvez qu'elles ont été sensibilisées aux principes de la protection des données ;
- nommez les outils que vous utilisez quotidiennement par lesquels les données confiées vont transiter : CRM, messagerie, cloud. Pour chacun d'eux, recherchez leurs DPA ;
- en cas de besoin externe, proposez des profils qui sont compliant ;
- analysez chaque donnée et prévoyez leur durée de conservation, leur finalité et base légale, le process d'exercice des droits.
Cette synthèse a deux atouts : vous aurez une vue d'ensemble sur votre politique RGPD en tant que sous-traitant et surtout, vous aurez aussi la possibilité d'identifier les points à améliorer.
Répondre avec preuves à l'appui
La prose n'a pas sa place, à moins qu'elle ne soit absolument nécessaire. Allez droit au but et justifiez chacune de vos affirmations.
- Vous dites que vous avez prévu tout ce qu'il faut en matière d'exercice des droits ? Alors, indiquez de quelle façon vous allez procéder, quelles sont les logiciels utilisés, etc.
- Votre registre RGPD sous-traitant est à jour ? Joignez-le et expliquez comment vous allez l'actualiser régulièrement ;
- Votre sécurité est à jour ? Demandez à votre DSI quels sont les procédés techniques mis en place, montrez la charte informatique signée par les salariés.
Derniers conseils que nous pouvons vous donner :
- Faites relire vos réponses par ceux qui vont traiter les données (vos équipes) ;
- Engagez un expert RGPD, un avocat par exemple, qui pourra vérifier que vos réponses sont conformes aux attentes de votre client et aux exigences réglementaires.
- Gardez une copie de vos réponses et de la documentation. Cela pourra être utile en cas de contrôle de la CNIL ou d'une violation accidentelle de données.
Sanctions du sous-traitant
Les sous-traitants peuvent non seulement engager leur responsabilité, mais également payer de lourdes amendes.
Engagement de votre responsabilité
Si le sous-traitant a violé une disposition du règlement européen et qu'une personne subit un dommage, alors elle peut obtenir réparation de son préjudice auprès de ce dernier.
Par exemple, votre responsable du traitement peut engager des poursuites si votre négligence lui a causé une perte de chiffre d'affaires (perte d'une base de données clients).
Amendes de la CNIL
La CNIL peut prononcer une amende administrative pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial de la société.
Pour les manquements les plus graves, ce montant peut s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.
Conclusion : la feuille de route RGPD prioritaire du sous-traitant
Désormais, la protection des données est devenue un sujet central sur lequel le responsable du traitement et les sous-traitants doivent trouver un rythme de croisière.
La sous-traitant n'a plus le choix. Le RGPD lui impose des obligations qui demandent un fort engagement de sa part.
Afin de mener à bien ce chantier, voici le résumé de nos meilleurs conseils pour vous mettre le pied à l'étrier :
- cartographie de vos clients ;
- audit des données personnelles confiées dans le cadre de votre mission ;
- documentation des instructions écrites de vos clients ;
- tenue d'un registre de traitements
- étendue de vos obligations de conseil et d'assistance ;
- DPA ou contrat de sous-traitance conforme au RGPD pour formaliser vos engagements ;
- formation de vos équipes.