Creer son entreprise

Sous-traitance informatique et RGPD

Le Règlement Général sur la Protection des Données (RGPD) est une directive européenne qui consacre le cadre légal et les responsabilités qui vous incombent, si votre entreprise traite et gère les données personnelles des citoyens européens.

Vis-à-vis du RGPD, toutes les entreprises sont responsables, à partir du moment où elles traitent les données de ressortissants européens.

Ainsi donc, si vous êtes responsable de traitement au sein d’une entreprise, lorsque vous faites appel à un sous-traitant informatique, celui-ci doit s’inscrire dans une démarche de mise en conformité.

Parce que le non-respect des exigences du RGPD implique votre responsabilité, même si la faute relève de votre sous-traitant, il est nécessaire que vous pussiez travailler en harmonie avec ce dernier, afin qu’il respecte son obligation de conformité et que votre entreprise soit protégée.

 

Définition d’un sous-traitant informatique et RGPD

Dans le cadre du RGPD et selon la CNIL, un sous-traitant informatique est une personne physique ou morale qui traite les données personnelles pour le compte d’une entreprise, sur instruction et sous le contrôle du responsable de traitement de ladite entité, vous trouverez sur cette page de plus amples informations.

Sont donc concernées, la majorité des prestataires de services informatiques et numériques, mais aussi les entités publiques qui sont amenées à traiter des données personnelles pour le compte d’une entreprise.

En tant que responsable de traitement, vous êtes appelé à travailler en étroite collaboration avec le prestataire en gestion informatique de votre entreprise.

Si dans la pratique la sous-traitance des données informatiques de votre entreprise est du ressort de ce prestataire externe, le RGPD l’appréhende tout de même comme une responsabilité en continu.

Plus clairement, il vous impose de vous assurer de la conformité de votre sous-traitant. C’est dire que le fait de confier la gestion de vos données informatiques ou leur hébergement à un externe ne vous libère pas de vos obligations de conformité.

Vu ainsi, vous devez donc vous assurer de la capacité de ce sous-traitant à respecter le cadre législatif établi par le RGPD.

RGPD informatique-traitance-sous

 

La sous-traitance informatique : une pratique risquée ?

Indifféremment de la taille de votre entreprise, la sous-traitance informatique est souvent inévitable. Cette nécessité s’explique par le fait que vous ne disposez ni des compétences ni du matériel nécessaire pour vous en occuper vous-même.

Même si les arguments en faveur de la sous-traitance informatique sont nombreux, cette pratique n’est pas sans risque.

Avec la sous-traitance, vous perdez dans une certaine mesure la maîtrise de vos données. En confiant tout ou partie de la gestion de vos données à un sous-traitant informatique, les risques que leur intégrité et leur confidentialité soient compromises sont grands.

Avec la diversité des méthodes (interne ou à distance) de connexion aux réseaux informatiques, vos données sont vulnérables d’une manière ou d’une autre.

Votre système d’information peut alors être indisponible, tout comme vous pourrez subir une perte de vos données.

C’est pourquoi, en contractualisant avec votre prestataire informatique, nous vous conseillons d’insister sur certains aspects, afin de protéger au mieux vos données et de ne pas engager votre responsabilité en tant que responsable de traitement.

Pour cela, nous vous suggérons de lui rappeler les obligations qui lui incombent.

En même temps, insérez dans le contrat des clauses relatives à l’exportation de données hors de l’Union Européenne ou encore à la possibilité de réaliser des audits de ses prestations.

 

Quelles sont les obligations du sous-traitant ?

Avant de contracter avec un sous-traitant, vous devez vous assurer qu’il respecte certaines obligations.

Celles-ci sont considérées en quelque sorte comme les critères sur lesquels vous allez vous baser pour le choisir, peut-être au détriment d’un autre prestataire. Ainsi, le contrat qui vous lie à ce dernier doit préciser les obligations qui lui incombent. Elles sont de natures diverses.

 

Obligation de transparence et de traçabilité

Il s’agit ici de définir dans un contrat, le spectre général de la mission du sous-traitant et en même temps des obligations qui sont les vôtres en tant que responsable de traitement. Ceci doit se faire dans le respect de l’article 28 du RGPD.

Essentiellement, le document doit répertorier les actions que le sous-traitant peut mener sur les données que vous lui transmettez et la gestion qu’il peut en faire.

Cette mesure vous protège et protège aussi le prestataire en gestion informatique. En effet, en cas de conflit, vous pourrez vous baser sur ce document pour justifier la responsabilité du prestataire.

Inversement, il peut aussi s’en servir pour prouver qu’il a respecté vos instructions. Aussi, vous devez lui signifier qu’il ne peut lui-même recourir à un autre sous-traitant, sans votre accord préalable.

 

La prise en compte des principes de protection des données

S’agissant des principes de protection des données, votre prestataire externe est tenu d’utiliser des outils et de proposer des services conformes avec le RGPD.

En même temps, il doit vous garantir qu’il ne conservera et ne traitera que les données nécessaires à la mission qui est la sienne. Aussi doit-il associer à cette tâche, uniquement des personnes habilitées à l’exécuter.

 

L’obligation de garantir l’intégrité et la sécurité des données

Le RGPD stipule que le sous-traitant doit être en mesure de garantir la sécurité et l’intégrité des données personnelles que vous lui confiez. À cet effet, chaque employé intervenant sous sa responsabilité est soumis à une obligation de confidentialité.

Pour se conformer à cet impératif du RGPD, il est tenu de mettre en place les mesures techniques et organisationnelles nécessaires.

 

Le sous-traitant doit pour cela, héberger les données que vous lui avez confiées sur des serveurs sécurisés. En plus, il faut qu’il garantisse un accès responsable à ces données, lesquelles doivent aussi être à leur tour sauvegardées sur d’autres serveurs.

L’idée est de se prémunir des risques de perte ou d’altération des données, si un dysfonctionnement technique survenait.

Dans l’éventualité où ces données ont été compromises, le prestataire informatique doit vous en informer dans les meilleurs délais. C’est une obligation d’alerte qui lui incombe, en plus de son obligation d’assistance et de conseil.

À la fin du contrat et sur votre instruction (responsable de traitement), le sous-traitant est dans l’obligation de supprimer toutes les données traitées pour votre compte, ou de vous les renvoyer.

Il doit aussi en supprimer toutes les copies existantes, sauf le cas où il est légalement tenu de conserver les données personnelles qu’il traite.

 

30.09.20 | Creer son entreprise

CADRES Forum
CADRES Forum
Nous sommes une communauté de femmes et d'hommes riches de nos différences et forts de nos expériences personnelles et professionnelles. Nous les partageons gratuitement afin de vous aider à faire votre propre chemin.



Plus dans Creer son entreprise


QUICONQUE PEUT SAVOIR.
LE PLUS IMPORTANT C'EST DE COMPRENDRE.

Recevez dans votre boite mail nos retours d'expérience sur les sujets qui font votre vie professionnelle.