Lors des 5 épisodes précédents, nous avons examiné la conformité de votre structure et de vos traitement des données au regard du RGPD. Nous allons aborder dans ce dernier épisode la place qu’occupent vos partenaires.
Dans la plupart des traitements, vous confiez ces données à des partenaires externes.
- Pour le traitement de la paie, vous confiez vos données à un expert-comptable, ou votre logiciel RH qui est dans le CLOUD.
- Vos commerciaux communiquent des données clients à partir de leurs boites mails en ligne
- Votre prestataire informatique dispose d’accès à votre système d’information….
En tant que responsable du traitement, vous êtes également en charge de la sécurité des données que vous confiez à vos partenaires.
IDENTIFIEZ LES PARTENAIRES A QUI VOUS CONFIEZ LES DONNÉES
Faites la liste des partenaires à qui vous confiez vos données personnelles.
Pour vous aider à faire cette liste, le tableau suivant donne les premières indications :
| Fonction | Partenaires potentiels |
| Ressources humaines | Solution cloud de recrutement |
| Solution cloud de RH (notes de frais, congés…) | |
| Prestataires de paie | |
| Organismes de formation | |
| Marketing | Plateformes de e-mailing |
| Sous-traitants de mailing et phoning | |
| Vente | Agendas partagés |
| Solution de CRM | |
| Infrastructure informatique | Prestataires externes |
| Solutions Cloud de sauvegardes |
Bien sûr, cette liste n’est pas exhaustive et est à compléter en fonction de votre activité (ex adresses de clients confiées à des sous traitants…).
Les organismes publics (URSSAF, IMPOTS, Collectivités locales…) sont soumis au RGPD, et sont censés le respecter…
ASSUREZ VOUS DE LEUR RESPECT DU RGPD
Une fois la liste des partenaires établie, assurez vous que vous avez bien précisé avec eux :
- Les données fournies,
- Les traitements qui seront effectués sur ces données et leur finalité,
- La limitation de l’usage de ces données pour les finalités définies,
- L’autorisation de sous-traiter la prestation ou pas,
- La responsabilité du sous-traitant dans les notifications éventuelles de violations à la CNIL
La CNIL propose, afin de vous aider, un ensemble de clauses types à insérer dans vos contrats de sous traitance : https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses
VOUS TRAVAILLEZ SUR DES DONNÉES QUE L’ON VOUS CONFIE
Il est possible que votre entreprise travaille sur des données personnelles qui vous ont été confiées (par exemple, vous assurez des travaux chez des particuliers pour le compte d’un bailleur qui vous a confié des adresses et des coordonnées téléphoniques). Dans ce cas vos obligations sont spécifiques :
- Le sous-traitant est soumis aux mêmes obligations que le donneur d’ordre pour ce qui est de la protection des données et du signalement d’une éventuelle violation;
- Le sous-traitant doit disposer d’une instruction écrite et documentée du donneur d’ordre permettant de valider sa qualité de sous-traitant;
- Vous devez tenir un registre spécifique des opérations que vous réalisez comme sous-traitant.
Si vous souhaitez en savoir plus, la CNIL a édité un guide spécifique du RGPD pour les sous-traitants : https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
Ce sujet vous intéresse ? Réservez dès à présent votre matinée du 23 mai prochain ! Au programme : retours d’expérience, partages et pistes, avec notre partenaire BRM Avocats, cabinet certifié par la CNIL, l’équipe NRC, Sage, proofpoint et moi-même.
Auteur : François Gervais, Vert & Bleu Conseil