RGPD EN ENTREPRISE : LA SELECTION DU SOUS-TRAITANT

Newsletter #RGPD Pratique - Le choix d'une #conformité efficace - Numéro 9/2023.

Les notions de responsable du traitement et de sous-traitant ont un rôle capital à jouer dans l’application du RGPD, étant donné qu’elles déterminent qui est responsable du respect des différentes règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique. C’est ce que commentent les lignes directrices n. 7/2020 du 7 juillet 2021 adoptées par le Comité européen de la protection des données.

Pour être conforme au RGPD, la société responsable du traitement, lorsqu’elle choisit un sous-traitant, doit vérifier sa fiabilité tant sur le plan financier, qualitatif que technique, car elle doit s’assurer que cette solution d’externalisation présente toutes les garanties suffisantes quant à la mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées, qu’elle réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée par le traitement de données personnelles.

La société responsable du traitement est donc chargée d’évaluer le caractère suffisant des garanties fournies par le sous-traitant et doit être en mesure de démontrer qu’elle a pris sérieusement en considération tous les éléments visés dans le RGPD dès le moment de la sélection. L’appréciation par le responsable du traitement du caractère suffisant des garanties est une forme d’évaluation des risques, qui dépendra grandement du type de traitement qui est confié au sous-traitant, et doit être effectuée au cas par cas, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

A titre d’exemple, les éléments suivants peuvent être pris en considération dans le processus d’évaluation comme, les connaissances spécialisées du sous-traitant (comme l’expertise technique en ce qui concerne les mesures de sécurité et les violations de données), les rapports des audits externes en matière de protection des données, les certifications internationales reconnues (ISO 27001) et la réputation du sous-traitant sur le marché.

En pratique, afin de s’assurer que cette évaluation soit effectivement mise en œuvre, une procédure de sélection des sous-traitants peut être mise en place, contenant un questionnaire préliminaire sur l’organisation en matière de protection des données personnelles et les règles de confidentialité mises en place. Ce questionnaire pourra être envoyé aux fournisseurs potentiels individualisés par le département achats par exemple ou bien par chaque service dans le cadre d’une gestion autonome des sous-traitants, et ce au moment de la phase de conception d’un projet, ou pendant les appels d’offres. En tout état de cause, la sélection devra intervenir avant le démarrage de la prestation.

Ce questionnaire permettra de vérifier la structure de confidentialité interne et les mesures de sécurité de l’éventuel sous-traitant portant sur les garanties suivantes à titre d’exemple :

-       Existence d’une politique générale de protection des données.

-       Formation et confidentialité des collaborateurs à la protection des données.

-       Adoption d’un registre des traitements.

-       Adoption de procédures pour la protection des droits des parties intéressées et pour la gestion des violations de données.

-       Présence d’un DPO.

-       Existence d’une politique de sécurité des systèmes d’information et la liste des mesures de sécurité.

-       Existence de transfert de données hors Union-Européenne, ………

Le questionnaire sera adapté à la prestation effectuée par le sous-traitant. Si le prestataire de services héberge les données pour le compte du responsable de traitement, la grille de sélection sera plus conséquente, notamment en termes de mesures de sécurité. Au contraire, un sous-traitant qui ne réalise pas un traitement risqué pour les données et la vie privée des personnes pourra recevoir une grille simple. Les réponses apportées pourront être accompagnées de documentation pour compléter l’analyse de la conformité du sous-traitant et seront analysées par le DPO et son Responsable de la Sécurité des Systèmes d’Information, s’ils existent.

Une autre possibilité est la réalisation d’une visite sur site et rencontrer le DPO du potentiel fournisseur, avec une liste de questions à la main. Cette visite devra se conclure par un rapport détaillé sur les différents points de contrôle définis.

A la suite de cette activité préliminaire, la vérification des réponses au questionnaire préliminaire, au rapport de visite et la consolidation des informations obtenues sur le potentiel sous-traitant permettront au responsable du traitement d’évaluer les garanties mises en place. L’évaluation pourra être positive et donner suite à la sélection du sous-traitant, ou sous-réserve et comporter une liste de mesures correctives à imposer contractuellement ou encore négative et ne pas donner suite à la sélection du fournisseur.

Une fois le sous-traitant sélectionné, s’il se trouve sur le territoire européen, l’ensemble des clauses contractuelles prévues par l’article 28 du RGPD seront intégrées au contrat de service, ou bien seront objet d’un contrat spécifique à la protection des données personnelles. Cette étape fera l’objet d’une préparation minutieuses des instructions à communiquer au sous-traitant.