GDPR/RGPD : Et vous, comment évaluez-vous la conformité de vos fournisseurs ?

Les limites des clauses RGPD dans les appels d’offres

On y arrive. Les nouveaux appels d’offres intègrent des annexes RGPD.

Extrait d’une annexe d’un appel d’offre récent :

« Le titulaire met à la disposition du [Responsable de Traitement] la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par [le Responsable de Traitement] ou un autre auditeur qu’il a mandaté, et contribuer à ces audits […] »

Il y est aussi question d’avoir un registre à jour, d’assurer la confidentialité des données, d’avoir un Data Protection Officer (DPO), etc.

Le sous-traitant s’engage donc contractuellement. Parfait. Mais est-ce que cela est suffisant ?

Pour enfoncer une porte ouverte, c’est le minimum puisqu’il s’agit tout simplement de respecter la loi. Cela permet aussi de fixer quelques principes de partage de charge en cas d’intervention des autorités (CNIL).

En revanche, en se limitant à une annexe contractuelle, purement déclarative, on ne sait pas où en est le sous-traitant dans sa maturité et sa conformité RGPD. Pourtant, quelques indices pourraient donner une première évaluation.

Évaluer la maturité RGPD de vos fournisseurs : par où commencer ?

Pour aller au-delà d’une simple clause contractuelle, il est important d’évaluer concrètement la maturité RGPD des sous-traitants. Voici quelques exemples de questions à poser :

  • Avez-vous un DPO autonome disposant des qualifications professionnelles adéquates ?
  • Avez-vous sensibilisé tous vos collaborateurs qui manipulent des données personnelles ?
  • Hébergez-vous des données personnelles en dehors de l’Union européenne ? Si c’est aux États-Unis, avez-vous vérifié si votre prestataire est bien sûr la liste des entreprises du Privacy Shield ?
  • Fournir le descriptif du traitement de la relation client B2B
  • Avez-vous un Responsable de la Sécurité des Systèmes d’Information (RSSI) ou équivalent ?

À chaque question, il convient de fournir une preuve. On se rapproche de ce que certaines entreprises effectuent quand elles évaluent la conformité cybersécurité de leurs partenaires. De proche en proche, on constitue ainsi une appréciation de l’engagement du sous-traitant dans la protection des données personnelles, via un Plan d’Assurance Conformité, cousin du Plan d’Assurance Sécurité.

Il est clair que cela peut prendre du temps mais des outils existent pour fluidifier le process. Et, comme le rappelle cette annexe RGPD, il faut « prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut« . Ce principe de Privacy by Design devraient se généraliser ; les donneurs d’ordre intégrant ainsi l’évaluation des pratiques de leurs futurs sous-traitants dès la phase de consultation, avec les achats.

Plan 🔽