Vérifier la conformité des sous-traitants
Recette RGPD Etape 3 : Travaillez votre mélange
Ça y est vos ingrédients sont prêts ! Lors de la précédente étape, vous avez achevé la cartographie de vos traitements. Vous savez à présent, identifier les données que vous collectez, leur finalité et leur délai de conservation.
Maintenant, il est temps de passer au scanner la préparation.
Quelles sont vos obligations et celles de vos sous-traitants ?
En tant que structure, société ou association, vous êtes Responsable du Traitement et de ce fait responsable des données personnelles que vous avez collectées. Il est cependant rare de ne pas faire appel à un fournisseur pour l’hébergement et le traitement de ces données.
Dans votre démarche de mise en conformité au RGPD, vous devez dès lors vous poser la question de vos sous-traitants. Sont-ils eux-mêmes conformes ?
Mauvaise nouvelle, envoyer un mail laconique à son fournisseur en lui demandant qu’il vous confirme sa conformité n’est pas suffisant. En cas de contrôle, vous ne pourriez vous dédouaner en montrant que vous avez simplement posé la question et n’avez pas reçu de réponse claire, voire pas de réponse du tout.
Dans la recette du RGPD, ou plutôt dans le règlement européen, un principe de coresponsabilité des sous-traitants prévoit de renforcer leurs obligations.
1. Ils doivent ainsi prendre en compte le principe de protection des données par défaut. Tout éditeur de logiciel digne de ce nom devra désormais, dans la conception de nouvelles fonctionnalités, inclure un volet RGPD dans sa réflexion.
2. Les sous-traitants sont également soumis à une obligation de transparence et de traçabilité. Le temps du logiciel métier « boite noire », sur lequel vous ne disposez d’aucune information, est révolu. Vous êtes en droit de connaître et d’obtenir les mesures de sécurité appliquées par votre éditeur pour conserver et garantir l’intégrité des données que vous lui avez confiées.
3. Vos fournisseurs en lien avec les données personnelles ont également une obligation d’assistance, d’alerte et de conseil. Pas question qu’ils vous laissent seuls face à vos responsabilités. Ils sont désormais et plus que jamais acteurs à vos côtés avec le RGPD, comme un commis auprès du chef cuisinier !
Les contrats en cours avec vos fournisseurs doivent-ils être modifiés ? La réponse est oui.
Tous les contrats en cours d’exécution devront être complétés avec les clauses obligatoires prévues par le règlement européen.
Vous êtes client Ximi ? Pas d’inquiétude, nous avons tout prévu. Vous recevrez bientôt nos nouvelles Conditions Générales d’Utilisation des Services liées aux Données Personnelles qui intègrent ces nouvelles obligations.
Vous êtes client Ximi ? Pas d’inquiétude, nous avons tout prévu. Vous recevrez bientôt nos nouvelles Conditions Générales d’Utilisation des Services liées aux Données Personnelles qui intègrent ces nouvelles obligations.
Quelles sont les démarches à réaliser auprès de vos sous-traitants ?
Les sous-traitants impliqués dans l’hébergement et le traitement des données peuvent être multiples. Si on pense en premier lieu à l’éditeur du logiciel métier, il ne faut pas oublier l’hébergeur de vos mails.
Qui n’a en effet jamais demandé à un client par mail des informations qui constituent des données personnelles ?
Votre client vous communique son nouveau RIB pour le prélèvement de ses factures ? Votre boite mail contient dès lors des données personnelles et vous devez vous poser la question de la conformité au RGPD de votre fournisseur.
Vous stockez des fichiers sur des serveurs externalisés (Ximi, Dropbox, Onedrive…) ? Il en va de même. Il vous appartient de vous assurer de la conformité de ce fournisseur.
Pour vous aiguiller dans votre conformité et si vos sous-traitants n’ont pas pris les devants, voici un avant-goût de questions que vous pouvez leur soumettre :
Disposez-vous d’un registre des catégories d’activités de traitements réalisés pour le compte de vos clients ?
Disposez-vous d’un DPO (Data Protection Officer / Délégué à la Protection des Données) ?
Faites-vous appel vous-même à des sous-traitants en lien avec les données que nous vous avons confiées ?
Quelles garanties pouvez-vous nous apporter concernant leur conformité au RGPD ?
Quelles informations pouvez-vous me fournir pour réaliser mon étude d’impact ?
Quelles sont vos procédures en cas de violation des données ?
Quelle est votre Politique de Sécurité des Systèmes d’Information ?
Il ne sait pas ou ne peut pas vous répondre ? Il est temps de vous poser des questions.
Ximi est une solution complète de gestion du système d’information : logiciel, e-mail, sauvegarde des fichiers, sécurité d’accès des ordinateurs. En optant pour Ximi, vous êtes assurés de disposer d’un système d’information conforme RGPD. Si l’un de vos fournisseurs n’est pas conforme, nous avons certainement une solution pour vous.
Pour toute information, vous pouvez nous contacter à 
.
La recette du RGPD
Vous souhaitez en savoir plus sur le RGPD ? Retrouvez la recette complète du RGPD sur notre page dédiée !
Chacune des étapes décrites ci-dessus s’accompagne d’un article explicatif.
N’en perdez plus une miette en consultant notre site régulièrement !
Inscription Webinars
A chaque étape jusqu’au 25 mai, nous proposons un webinar pour reprendre les points importants et voir des exemples concrets d’application à mettre en pratique dans votre structure de services à la personne.
Astuces du chef !
Attention : toutes nos communications et notre accompagnement ont vocation à vous aider mais ils ne sauraient se substituer aux conseils d’un professionnel sur le sujet. Nous ne garantissons pas que ce que nous communiquons est exhaustif. Suivre nos conseils ne saurait garantir une conformité au RGPD qui relève in fine du responsable du traitement.