Être sous-traitant et respecter le RGPD
Dans le cadre du RGPD, les sous-traitants, que l’on peut aussi appeler prestataires de services, sont soumis à des règles strictes. Les organismes pour lesquels ils travaillent sont responsables de l’ensemble de la chaîne de traitement des données. Mais le prestataire lui-même doit respecter les règles imposées par cette collaboration, sans quoi il pourrait se voir sanctionné. C’est la loi, c’est elle qui dicte la gestion de la sous-traitance.
Quiconque a accès à des données personnelles dans le cadre de son travail doit respecter la chaîne des responsabilités qui lui incombent.
Le RGPD responsabilise tous les acteurs
En matière de traitement des données personnelles, tous les organismes impliqués, le client et ses prestataires, ont une responsabilité. C’est la CNIL qui définit les règles. Tous les sous-traitants, dans des domaines divers et variés, doivent se conformer à la loi et respecter un certain nombre de règles qui protègent la vie privée des personnes. Les libertés, les droits, l’identité des personnes sont au coeur des préoccupations. Qu’ils soient hébergeurs de données, responsables de la sécurité informatique, responsables de la maintenance, intégrateurs de logiciels, responsables de l’envoi de courriers ou responsables d’un département tout entier, ils sont concernés. Les agences marketing ou agences de communication qui travaillent pour le compte de gros groupes ne dérogent pas à cette règle.
Les obligations des sous-traitants
Un sous-traitant doit respecter un cahier des charges imposé par l’organisme pour lequel il travaille. L’article 28 du RGPD explique tout cela clairement. Ce cahier des charges est obligatoire pour définir précisément son cadre de travail. Il optimise la gestion de la sous-traitance. Il contient des instructions qui garantissent la traçabilité et la transparence des manipulations effectuées. Pour établir ce cahier, on peut recommander de se référer au clausier « RGPD : guide du sous-traitant » établi par la CNIL. Un sous-traitant doit mettre à la disposition de son client toutes les informations nécessaires pour prouver le respect de ses obligations. Il doit être prêt en cas d’audit. C’est pourquoi, à son tour, il doit remplir un registre dans lequel il indique les traitements effectués. S’il veut faire appel par la suite à un autre sous-traitant pour son propre compte, il doit en informer son client et surtout lui demander l’autorisation.
Sécurité des données garantie
Dès le début de la collaboration, un sous-traitant doit garantir la protection des données traitées contre tous les risques éventuels. La problématique de la confidentialité est cruciale. Une procédure efficiente d’alerte contre toute violation doit être fixée avant même que le travail ne commence. Informer le client de tout problème est une priorité. Mais il faut également être en mesure de mettre à l’abri rapidement toutes les données qui ont pu être exposées. Une fois le travail effectué, si le client le demande, le prestataire doit supprimer toutes les données traitées ou bien les redonner à son client. Suivant les termes du contrat, il devra soit effacer définitivement, soit à tout prix garder les données et leurs copies. En bref, les procédures de travail à mettre en place ne s’improvisent pas. Le mieux est de demander de l’aide à un expert qui saura conseiller le prestataire et son client.
1
1
E3Z3PaU8
1
1
1
1
1
1
../../../../../../../../../../etc/passwd
/../..//../..//../..//../..//../..//etc/passwd.jpg
JyI=