Vérifier la maturité des sous-traitants en matière de protection des données personnelles

Le responsable de traitement doit faire une sélection sur le marché des seuls sous-traitants présentant «des garanties suffisantes pour mettre en œuvre mesures techniques et organisationnelles appropriées» pour répondre aux exigences du RGPD. Si de prime abord, le législateur européen ne précise pas ce qu’il entend par des «garanties suffisantes», il est néanmoins possible d’en préciser les contours via les considérants et les articles du RGPD.

Le considérant 81 du RGPD prévoit que « le responsable du traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement ».

En pratique, l’expertise d’un sous-traitant peut s’apprécier de différentes manières, telles que l’application par le sous-traitant d’un code de bonne conduite, la vérification de la conformité de son site internet, la démonstration que le produit et/ou service prend en compte le privacy by design et le privacy by default ou encore via une la documentation sur les mesures de sécurité. Pour ce qui est de la fiabilité, il peut être recommandé de prendre en compte la renommée sur le marché du sous-traitant, la date de création de l’entreprise, sa présence à l’international ou ses certifications (ISO27001, ISO27701, etc.).

Enfin, concernant les ressources, la présence d’un DPO chez le sous-traitant ou la formation/sensibilisation du personnel à la protection des données sont des facteurs à prendre en compte et facilement vérifiables. Néanmoins, si aucun des points ci-dessus ne permet à lui seul d’apprécier « les garanties suffisantes », cela constitue néanmoins un faisceau d’indices qui peut être utilisé pour faire une présélection des sous-traitants.

D’un point de vue opérationnel, le responsable de traitement devrait établir un questionnaire contenant toutes les informations qu’il juge utiles pour s’assurer que le sous-traitant présente des garanties suffisantes et intégrer l’usage de ce questionnaire dans un process interne relatif au choix d’un nouveau prestataire.

  • Avez-vous désigné un Délégué à la Protection des Données ?
  • Avez-vous établi un registre des activités de traitement Responsable de traitement et Sous-traitant ?
  • Avez-vous une Politique de Sécurité ?
  • Avez-vous mis en place une procédure de gestion de crise, notamment en cas de violation de données ?
  • Votre personnel est-il formé/sensibilisé à la protection des données ?
  • Proposez-vous un Plan d’Assurance Sécurité ?

En analysant les réponses obtenues, le responsable de traitement est désormais en mesure de faire une présélection des sous-traitants, pour ne retenir que ceux démontrant un bon niveau de maturité en matière de protection des données.


More from RGPD Sous Traitance