Expertise

Le RGPD et l’audit des sous-traitants

Le Règlement Général sur la Protection des Données (RGPD) distingue :

  • Le « responsable de traitement », la personne physique ou morale qui détermine les finalités et les moyens d’un traitement,
  • Du « sous-traitant », la personne physique ou morale qui traite des données à caractère personnel conformément aux instructions qui lui ont été données dans le cadre d’un contrat, d’une convention ou d’un mandat avec le responsable de traitement. Les hébergeurs de données (service Cloud,...), les fournisseurs de solutions et systèmes (CRM, SIRH,...), les prestataires dans l’externalisation de la comptabilité, les partenaires pour le recrutement, les agences de communication et de conception de site web, les délégataires de gestion ainsi que les fournisseurs d’intelligence artificielle constituent des sous-traitants dès lors qu’ils exécutent des opérations sur des données personnelles (clients, prospects, salariés, candidats, etc.) transmises, stockées ou encore analysées dans le cadre des prestations et/ou services qu’ils fournissent aux entreprises. 

 

La maîtrise des risques liés aux sous-traitants 

Un contrat entre un responsable de traitement et un sous-traitant doit contenir, conformément à l’article 28 du RGPD, des clauses contractuelles garantissant la conformité du sous-traitant au RGPD, une clause d’audit ainsi qu’une annexe détaillée. Cette annexe doit mentionner les instructions sur le traitement de données à caractère personnel que le sous-traitant doit mettre en œuvre (objet, durée, nature et finalité du traitement, type de données à caractère personnel, catégories de personnes concernées, obligations et les droits du responsable du traitement).  

Afin de maîtriser les risques financier, réputationnel, de dépendance économique ou encore de continuité d’activité liés au recours à un sous-traitant, l’entreprise responsable de traitement peut mettre en place des dispositifs de maîtrise de risques et s’assurer, par la collecte de preuves, de la conformité du sous-traitant aux obligations prévues par l’article 28 du RGPD. En effet, l’entreprise responsable de traitement peut : 

  • Cartographier les sous-traitants impliqués dans un traitement de données personnelles pour disposer d’une meilleure vision de ces risques ;  
  • Evaluer, de manière régulière, les risques associés à chaque sous-traitant sur la base de critères adaptés aux enjeux de l’entreprise, aux types de traitement de données personnelles et aux risques sur la vie privée des personnes concernées (dépendance vis-à-vis du service ou de la solution, volume de données personnelles traitées par le sous-traitant, traitement de données sensibles, solution utilisant de l’intelligence artificielle, envoi massif de campagnes marketing, etc.).
  •  S’assurer que des clauses contractuelles et une annexe détaillant les instructions sur la protection des données personnelles sont intégrées dans le contrat avec le sous-traitant ; 
  • Créer une liste de tiers de confiance ; 
  • Mettre en œuvre des processus efficients avec ses sous-traitants tels que les processus de gestion des violations de données personnelles et de gestion des demandes d’exercice de droit ; 
  • S’assurer que le sous-traitant tient un registre des activités de traitements qu’il réalise en tant que sous-traitant ; 
  • Réaliser des audits ou des inspections sur site, afin d’être en mesure de démontrer la conformité des opérations réalisées par son sous-traitant sur les données personnelles qui lui ont été confiées au regard du RGPD et des instructions stipulées dans le contrat.   

 

Les formes d’audits de sous-traitants 

En fonction des enjeux de l’entreprise et du niveau de risque du sous-traitant (identifié à travers la cartographie des sous-traitants et, le cas échéant, de la cartographie des risques RGPD), les vérifications ou audits peuvent prendre plusieurs formes (approche par les risques) : 

  • Un questionnaire déclaratif peut être soumis aux sous-traitants par l’ensemble des sous-traitants afin de permettre à l’entreprise responsable de traitement de disposer d’un aperçu de la conformité avant l’entrée en relation grâce à la collecte d’informations et de documents clés (transparence et traçabilité, protection des données par défaut et par conception, gestion de l'exercice des droits, respect des instructions, validation du sous-traitant ultérieur, durée de conservation, mesures de sécurité et gestion des violations de données) ; 
  • Des vérifications sur site peuvent être réalisées chez le sous-traitant identifié comme étant à risque (par exemple, le respect de la transparence, de la sécurité des données, et de la durée de conservation) afin de s’assurer de l’opérabilité effective des mesures organisationnelles et techniques mises en œuvre par celui-ci ; 
  • Un audit complet sur site peut être réalisé chez le sous-traitant identifié comme étant à risque. Cela pourra inclure la collecte et l’analyse de documents, des vérifications et tests sur site pour s’assurer de la conformité du sous-traitant au regard de ses obligations contractuelles et de l’article 28 du RGPD. 

Ces audits peuvent être mutualisés avec d’autres types d’audits (audit de sécurité, audit de conformité, etc.). En cas d'écarts au regard du RGPD ou des obligations contractuelles, des plans d’actions seront discutés et définis avec le sous-traitant. Ces derniers devront alors corriger les écarts de conformité identifiés et en apporter la preuve au responsable de traitement. L’impossibilité pour le sous-traitant de se mettre en conformité pourra alors être un levier important dans la renégociation des prestations ou le renouvellement des contrats.  

La mise en place des dispositifs de maitrise de risques et d’audits de sous-traitants permet aux entreprises de respecter les exigences du RGPD et limiter le risque de sanction par la Commission Nationale Informatique et Libertés ou CNIL (autorité française de protection des données personnelles). En effet, si la CNIL peut contrôler et sanctionner directement le sous-traitant lorsque ce dernier a manqué à ses obligations au regard du RGPD, l’entreprise responsable de traitement qui fait appel aux prestations et/ou services de ce sous-traitant peut également faire l’objet d’une sanction car elle est responsable vis-à-vis des personnes concernées et des autorités de contrôle.