Accueil //Blog //RGPD //Zoom sur //Evaluation des tiers RGPD
Crédits photo : Yan Krukov, Pexels

Evaluation des tiers RGPD

Le principe de responsabilisation introduit par le RGPD exige que le responsable de traitement assure une conformité optimale de son organisme et qu’il soit en mesure de démontrer le respect des règles sur la protection des données personnelles. Ce principe d’accountability implique d’élaborer la documentation nécessaire et de veiller à ne recourir qu’à des sous-traitants assurant une protection effective des données personnelles.

Le choix d’externaliser une prestation de services ou de recourir à une solution tierce n’est pas une décision à prendre à la légère. Les sous-traitants peuvent être source de risques élevés dans la mesure où le client n’a pas un contrôle réel sur ces tiers. Le prestataire aura accès aux données collectées par le responsable de traitement et les utilisera pour le compte de son client. Celui-ci étant responsable de la conformité de ses propres données, il doit veiller à ce que toutes les données qu’il collecte soient traitées de manière conforme par ces prestataires.

Aux termes de l’article 28.1 du RGPD, le responsable de traitement ne doit faire appel qu’à des sous-traitants offrant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles. Cette obligation impose de surveiller les processus des tiers et de pouvoir démontrer leur conformité à la règlementation. Ceci passe par une évaluation de la conformité du prestataire et un contrôle régulier de ses process :

  • Envoi d’un questionnaire. Une analyse préalable du niveau de conformité du sous-traitant s’impose afin de déterminer sa maturité en matière de protection des données personnelles. Cette évaluation peut se faire par le biais d’un questionnaire qui permettra notamment d’identifier le niveau de risque que peut générer le recours au tiers en question.
  • Examen de la documentation. Le responsable de traitement devant démontrer le bon respect des obligations légales par ses sous-traitants, il doit vérifier que le prestataire détient la documentation nécessaire permettant de prouver sa conformité effective.
  • Identification des sous-traitants ultérieurs. Le sous-traitant ne doit recourir qu’à des sous-traitants présentant des garanties suffisantes. De plus, aux termes de l’article 28.2 du RGPD, le sous-traitant ne doit pas recruter un autre sous-traitant sans l’autorisation écrite préalable du responsable du traitement. Ce dernier doit dès lors s’assurer d’une part que les sous-traitants de ses prestataires présentent des garanties suffisantes et d’autre part qu’un process d’autorisation du client existe en cas de nouveaux sous-traitants.
  • Prise de décision. Le choix effectué doit certainement porter sur le sous-traitant qui ne présente aucun doute quant à sa réelle conformité. Par ailleurs, cette relation de sous-traitance doit être encadrée par un contrat ou autre acte juridique précisant notamment les droits et obligations de chaque partie.
  • Audits réguliers. L’évaluation des tiers n’est pas une action ponctuelle. Des audits réguliers doivent être effectués afin de vérifier leur niveau de conformité ainsi que la mise à jour des mécanismes et process. Dans le cas où le niveau de conformité n’est plus satisfaisant, le recours à un autre prestataire serait nécessaire.

À lire aussi