DATA MANAGEMENT ET BUSINESS - LE CHOIX D’UNE MISE EN CONFORMITÉ EFFICACE - NUMÉRO 13/2024
dataism Imperiali
Assisting companies in making data a business strategical asset in accordance with the law.
COMMENT SÉLECTIONNER UN SOUS-TRAITANT?
Les notions de responsable du traitement et de sous-traitant ont un rôle capital à jouer dans l’application de la LPD et du RGPD, étant donné qu’elles déterminent les responsabilités et les obligations légales à mettre en place en matière de protection des données. C’est aussi ce que commentent les lignes directrices n. 7/2020 du 7 juillet 2021 adoptées par le Comité européen de la protection des données « EDPB ».
Les règles de business enseignent aux sociétés que le choix d’un sous-traitant, nécessite un contrôle sur sa fiabilité tant sur le plan financier, qualitatif que technique, car elles doivent s’assurer que cette solution d’externalisation présente toutes les garanties suffisantes pour leur client final.
La société responsable du traitement est donc chargée d’évaluer le caractère suffisant des garanties fournies par le sous-traitant et doit être en mesure de démontrer qu’elle a pris sérieusement en considération tous les éléments visés par la loi dès le moment de la sélection comme le précise l’article 9 de la LPD. L’appréciation par le responsable du traitement du caractère suffisant des garanties est une forme d’évaluation des risques, qui dépendra du type de traitement qui est confié au sous-traitant. Cette évaluation doit être effectuée au cas par cas, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour la personnalité et les droits fondamentaux des personnes physiques.
À titre d’exemple, sont disponibles les éléments suivants sur le site internet du Préposé Fédéral à la Protection des Données et à la Transparence PFPDT à l’adresse : Externalisation (sous-traitance) (admin.ch) qui donne des conseils pratiques dans ce cadre précis en rappelant que chaque entreprise demeure responsable de la protection des données même si le traitement est confié à un sous-traitant.
En pratique, les éléments d’évaluation du sous-traitant sont multiples. Ils peuvent correspondre aux connaissances spécialisées du sous-traitant (comme l’expertise technique), à sa solidité financière, aux certifications internationales reconnues (ISO 9001, ISO 27001) et à la réputation des produits ou de la marque sur le marché. Ces éléments qui peuvent être pris en considération dans le processus d’évaluation du fournisseur à qui seront confiés les traitements de données personnelles doivent être accompagnés d’éléments d’évaluation sur la sécurité des informations et la conformité à la LPD.
Pour assurer une évaluation systématique des sous-traitants, il est recommandé de mettre en place une procédure de sélection avec un questionnaire préliminaire sur l’organisation en matière de protection des données personnelles et les règles de confidentialité existantes. Ce questionnaire répond au principe de « Protection des données dès la conception et par défaut » prévu par l’article 7 de la LPD qui indique que « le responsable du traitement est tenu de mettre en place des mesures organisationnelles afin que le traitement respecte les prescriptions de protection des données dès la conception du traitement ».
Ce questionnaire pourra être envoyé aux fournisseurs potentiels individualisés par le département achats par exemple ou bien par chaque service concerné dans le cadre d’une gestion autonome des sous-traitants, et ce au moment de la phase de conception d’un projet, ou lors d’appels d’offres. En tout état de cause, l’évaluation du sous-traitant intervient en amont, avant la signature d’un contrat.
Le modèle de questionnaire est réalisé par le responsable du traitement avec le support d’un consultant spécialisé et porte sur les sujets suivants :
Recommandé par LinkedIn
Le questionnaire sera adapté à la prestation effectuée par le sous-traitant. Si le prestataire de services héberge les données pour le compte du responsable de traitement, la grille de sélection sera plus conséquente, notamment en termes de mesures de sécurité et de transfert des données. Les réponses apportées pourront être accompagnées de documentation pour compléter l’analyse de la conformité du sous-traitant et seront analysées par le DPO et le Responsable de la Sécurité des Systèmes d’Information, s’ils existent.
En cas de fournisseur sensible, qui devra faire une activité significative et utiliser les données personnelles des clients de la société comme un call center ou une agence de services par exemple, il peut être envisagé de réaliser une visite sur site et rencontrer le DPO du potentiel fournisseur, avec une liste de questions à la clef.
A la suite de cette activité préalable, la vérification des réponses au questionnaire, au rapport de visite et la consolidation des informations obtenues sur le potentiel sous-traitant permettront au responsable du traitement d’évaluer si ce dernier présente des garanties suffisantes. Dans le cas où l’évaluation sera positive, la société pourra donner suite à la sélection du sous-traitant. Dans le cas d’une évaluation sous-réserve, la société pourra imposer une liste de mesures correctives à mettre en place. Enfin dans le cas d’une évaluation négative, il est recommandé à la société de ne pas donner suite à la sélection du fournisseur.
Une fois le sous-traitant sélectionné, le responsable du traitement est tenu, en vertu de l’art. 9 LPD, de s’assurer et de garantir par contrat le périmètre des activités de traitement de données personnelles confiées et les conditions d’utilisation sur la base d’instructions précises.
Le contenu du contrat sera l’objet du prochain numéro de la newsletter Data Management et Business.
dataism - www.dataismimperiali.com - info@dataismimperiali.com