RGPD : Vos responsabilités en tant que Donneur d'ordres.

Vous avez tous entendu parler du Règlement Général sur la Protection des Données (RGPD) ... Il est applicable, en France, depuis le 25 mai 2018 ! 

J’aimerais attirer l’attention des donneurs d’ordres sur l’application de l’article 28 de ce RGPD. Cet article, concernant les « Sous-traitants », définit les obligations qu’ils leurs incombent. 

Mais qu’est-ce qu’un « sous-traitant », au sens du RGPD ? 

Instinctivement, nous comprenons que cela ne concerne que les prestataires de services informatiques qui gèrent nos données ou développent nos outils informatiques, mais est-ce réellement qu’eux ? 

NON ! 

En fait, c’est beaucoup plus large que cela !!!

C’est pour cela qu’un donneur d’ordres, généralement considéré comme Le Responsable du Traitement, doit s’assurer de plusieurs points. 

En premier lieu, il doit s’assurer de la présence d’une clause « RGPD » dans tous les contrats qu’il engage, avec chaque sous-traitant ou fournisseur. Si la clause n’est pas présente dans les contrats existants, il devra rédiger un avenant au contrat pour l’intégrer dans la relation contractuelle.

En second lieu, il doit s’assurer que ses sous-traitants / fournisseurs respectent également le RGPD. Pour cela, il peut classer ses sous-traitants / fournisseurs par niveau de risque, en les évaluant en fonction du type de données qu’ils traitent (données simples, données sensibles, volume de données traitées, ...). Nous conseillons de les classer en 3 niveaux de risques (faible, moyen et élevé) pour assurer une gestion raisonnable. Pour complètement remplir ses obligations, le Donneur d’ordres pourra envoyer un questionnaire de conformité, adapté en fonction du niveau de risque, à chaque sous-traitant /fournisseur qu’il devra lui renvoyer renseigner. 

Le Donneur d’ordres pourrait se dire, ça y est, j’ai rempli mes obligations !

Encore NON ! 

Comme pour d’autres sujets de conformité (obligations de vigilance, Sapin II, ...) le Donneur d’ordres doit contrôler la bonne application des règles du RGPD, chez ses sous-traitants / fournisseurs ! 

Comment faire cela simplement ? 

Le Donneur d’ordres établira un planning pluriannuel d’audits de contrôles, par sondage. Les sous-traitants / fournisseurs seront sélectionnés en fonction des réponses qu’ils auront donné au précédent questionnaire de conformité, et de leurs niveaux de risques. Ces audits de contrôles peuvent être réalisés par un salarié interne formé au RGPD, ou plus souvent par un consultant externe spécialisé sur le sujet. 

En fonction des résultats de ces audits, il devra décider s’il maintient, ou pas, la relation contractuelle avec ses sous-traitants / fournisseurs. 

Parlons d’un univers, chez SECCOM Consulting, que nous connaissons bien !

Les acteurs de la sécurité & sûreté. 

Une entreprise de surveillance humaine fournissant des agents de sécurité (ADS) sur les sites d’un Donneur d’ordres doit-il être soumis à ces contrôles ? Et quel est son niveau de risque ?

Posons-nous certaines questions ... ? 

Les ADS remplissent-ils un rapport nominatif à la suite d’une intervention d’assistance à personne (en précisant la cause supposée du malaise) ? 

Les ADS utilisent-ils le système de vidéosurveillance du Donneur d’ordres ? Peuvent-ils accéder aux enregistrements de vidéosurveillance pour une levées de doute ? 

Dans le Retail, les ADS remplissent-ils une plainte simplifiée à destination du Parquet, en cas d’interpellation d’un client pour vol ? Sans faire de plainte simplifiée, remplissent-ils une fiche d’interpellation ?

Les ADS contrôlent-ils le listing journalier du système de contrôle d’accès par badge ?

Les ADS rédigent-ils un rapport mensuel contenant des données à caractère personnel ?

Si les réponses sont oui, pour toute ou partie des questions, alors il devra être classé en risque élevé, et contrôlé suivant le principe évoqué plus haut. 

Prenons maintenant le cas d’une société d’installation de système technique du type vidéosurveillance ou contrôle d’accès ! 

Cette société assure-t-elle la maintenance des systèmes à distance ? 

Leurs intervenants peuvent-ils accéder aux enregistrements des systèmes ?

Sont-ils chargés de la création des badges d’accès de vos salariés ?

Cette société installe-t-elle un système de contrôle d’accès biométrique et en assure-t-elle la maintenance à distance ? 

Comme dans le premier cas, si les réponses sont oui, pour toute ou partie des questions, celle-ci sera classé en risque élevé, et le Donneur d’ordres appliquera les mêmes règles que citées plus haut. 

Vous avez besoin d’en parler ? Vous souhaitez sensibiliser vos équipes « Achats indirects » ou « Sécurité » ? Vous souhaitez mettre en place une campagne de contrôles de vos sous-traitants / fournisseurs ? Vous souhaitez compléter vos procédures ou adapter votre organisation ? Contactez-nous : contact@seccomconsulting.com

Nous aurons plaisir à échanger avec vous !