Accueil //Blog //RGPD //RGPD : Comment auditer vos sous-traitants
Crédits photo : Freepik

Avec l’évolution rapide des nouvelles technologies, les entreprises ont tendance à externaliser de plus en plus leurs services. Ils font ainsi appel à un grand nombre de prestataires qui interviennent dans la plupart des cas en tant que sous-traitants. Cette externalisation implique la collecte & transfert de données personnelles, et comporte souvent des risques en matière de conformité et de sécurité des données. Ceci nécessite la réalisation d’inspections, afin de prendre le temps de vérifier le niveau de conformité du prestataire.

Quelles sont les obligations RGPD relatives aux sous-traitants ?

L’article 28 1 du Règlement Général sur la Protection des Données exige que le responsable de traitement fasse appel uniquement à des sous-traitants présentant des garanties suffisantes en matière de protection des données, et qu’il s’assure du bon respect de l’ensemble des obligations dont ils sont tenus. Cela signifie que le responsable de traitement doit contrôler le sous-traitant préalablement à la conclusion du contrat, et doit s’assurer qu’il mette en place les mesures nécessaires permettant de protéger les données personnelles avant de faire appel à ses services.

Auditer les sous-traitants constitue d’ailleurs une obligation clef en matière de protection des données à caractère personnel, et est une étape essentielle pour garantir la conformité des données. Ces prestataires intervenant pour le compte du responsable de traitement, celui-ci peut voir sa responsabilité engagée par son autorité de contrôle dans le cas où le sous-traitant ne protège pas correctement les données traitées dans le cadre de la relation de sous-traitance. Le responsable de traitement ne doit dès lors pas (ou plus) collaborer avec le sous-traitant s’il ne présente pas une conformité adéquate, ou si cours de la relation de sous-traitance, il s’avère que les mesures mises en place ne sont plus suffisantes au regard de la règlementation.

Dans cet objectif, le RGPD impose que le sous-traitant mette à la disposition du responsable du traitement les informations lui permettant de mener les vérifications nécessaires. Cet audit doit se faire de manière régulière, le Délégué à la Protection des Données 2 (ou autre garant du respect du RGPD) du responsable de traitement, devant veiller régulièrement à la conformité des pratiques du sous-traitant.

Découvrir

Pourquoi auditer vos sous-traitants ?

Bien qu’il s’agisse d’une obligation légale, auditer les sous-traitants reste dans tous les cas avantageux pour les entreprises. Cela leur permet de :

  • De renforcer la protection des données : s’assurer que le sous-traitant respecte les dispositions légales permet d’identifier les lacunes potentielles dans les pratiques de traitement des données par les sous-traitants, de prendre des mesures pour les atténuer et de réduire les risques de violations de données.
  • D’améliorer la transparence : l’audit du sous-traitant permet au responsable de traitement d’être conscient de ses pratiques en matière de protection des données. Cela joue un rôle important dans le renforcement de la transparence entre le responsable de traitement et le sous-traitant.
  • De renforcer la confiance : auditer régulièrement ses sous-traitants contribue à renforcer la confiance des personnes physiques dont sont traitées les données en leur assurant un contrôle régulier. Cela peut s’avérer être un vrai atout business auprès des prospects et des clients, qui seront bien plus enclins à travailler avec l’entreprise.
Lire l'article

Comment auditer vos sous-traitants ?

Pour tirer le meilleur parti de l’audit du sous-traitant en matière de protection des données, il est important de le mener de manière proactive. Les responsables de traitement doivent veiller à bien préparer cet audit, et doivent s’assurer qu’il couvre tous les aspects de la protection des données. Il est également important avant de commencer l’audit de communiquer avec le sous-traitant, de lui expliquer les objectifs de l’audit et de lui préciser comment il sera mené. Ceci facilitera le contrôle et permettra d’obtenir la coopération du sous-traitant. La phase d’audit nécessite de collecter des preuves afin d’évaluer la conformité du sous-traitant aux obligations du RGPD. Ces preuves peuvent être obtenues par le biais d’entretiens, d’inspections, ou d’examen de documents.

Nos experts vous fournissent les principales étapes à suivre afin de conduire un audit efficace :

  • Identification des sous-traitants : Commencez par dresser une liste complète des sous-traitants qui traitent des données personnelles pour votre entreprise.
  • Analyse des contrats : Examinez attentivement les contrats en vigueur avec les sous-traitants que vous avez identifié pour vous assurer qu’ils incluent bien l’ensemble des clauses exigées.
  • Examen des pratiques de traitement de données à caractère personnel : Analysez comment les données sont collectées par vos sous-traitants, stockées et traitées, s’il s’agit de données sensibles, comment le transfert de données est effectué etc. .
  • Vérification de la conformité légale : Assurez-vous que les sous-traitants respectent les exigences légales du RGPD, telles que le consentement, la gestion des droits et libertés des personnes concernées, la mise en place du registre des traitements, la réalisation d’analyse d’impact si nécessaire, la durée de conservation des données etc. Vérifiez que les actions intégrées respectent toutes les exigences de la règlementation.
  • Evaluation des mesures de sécurité : Examinez les systèmes de sécurité, les protocoles et mesures techniques et organisationnelles mises en place pour protéger les données.
  • Rapport d’audit et plan d’action : Formalisez les conclusions de l’audit, identifiez les domaines de non-conformité et recommandez des actions correctives pour améliorer la conformité et la sécurité des données.

Source

1 RGPD article 28 sur le site de la CNIL

2 Tout savoir sur le Data Protection Officer par Data Legal Drive

À lire aussi