Le contrôle des clauses contractuelles affectées dans le cadre de la conformité au RGPD

conformité

Généralités

Peu avant la mise en application du Règlement Général sur la Protection des Données, plusieurs entreprises ont initié leur programme de conformité. Il varie en fonction de la taille de l’entreprise, de son activité principale et de son portefeuille de clients. Toutefois, il existe différentes actions liées aux contrats avec ses sous-traitants. Cela s’explique premièrement par une grande responsabilité du sous-traitant en cas de violation du règlement européen et ensuite par l’obligation pour le responsable de traitement de choisir quelques sous-traitants qui ont assez de garanties vis-à-vis des données traitées.

Des bouleversements découlent de cette obligation, qui impactent le responsable de traitement dans sa façon de coopérer et choisir ses sous-traitants. Elle inclue une autre forme de gestion de portefeuille des fournisseurs actuels et futurs.

Clauses essentielles RGPD : comment garantir la conformité des sous-traitants ?

La démarche de conformité se déroule en quelques étapes. Vous pouvez vous aider d’un questionnaire conformité rgpd :

1ère étape

Il convient premièrement de dresser une liste des partenaires et sous-traitants qui traitent des données à caractère personnel des salariés ou des clients de l’entreprise. Par exemple, il est important d’enregistrer :

  • Le prestataire chargé de l’hébergement des données clients
  • Le fournisseur de logiciel RH
  • Le prestataire traitant les réclamations clients pour l’entreprise.

Cette première tâche est essentielle. D’ailleurs, les différents acteurs doivent être inclus ou du moins, certains d’entre eux, comme le service juridique et le service des achats. Dans les organisations qui ne maîtrisent pas encore le cycle contractuel, cette première étape prend beaucoup de temps.

2è étape

Après avoir établi la liste des partenaires, il faut revoir les contrats qui les lient à l’entreprise. Cette revue permet d’observer l’existence ou non de contrats entre l’entreprise et les prestataires de service. Selon l’article 28 du RGPD, le contrat qui lie le responsable de traitement et les sous-traitants, doit être sous forme écrite et électronique. Dans le cas des accords existants et des accords non formalisés, il faut actualiser les clauses liées aux données personnelles. Un logiciel registre rgpd permet de transcrire toutes les opérations liées au traitement de données à caractère personnel.

Les clauses essentielles pour se conformer avec le RGPD

Pour vous accompagner dans l’accomplissement de la tâche, voici la liste des clauses de conformité RGPD :

Clause de respect des droits de personnes

Le responsable de traitement doit garantir le respect des droits des personnes vis-à-vis de la protection des données personnelles, même si le traitement est pris en charge par un prestataire externe. Cette clause doit imposer au sous-traitant de coopérer pour répondre aux différentes demandes des personnes concernées, dans le délai imparti. Par exemple, si une personne souhaite exercer son droit d’opposition, le sous-traitant doit décider dans l’immédiat de stopper l’opération de traitement.

Clause de notification d’une violation de données

Parmi les grandes nouveautés du RGPD, on peut citer la notification de l’autorité de contrôle en cas de violation de données. Elle doit être faite par le responsable de traitement dans les 72h qui suivent sa découverte. Il faut noter que si cette clause n’est pas respectée, la responsabilité du sous-traitant peut être engagée, au même titre que celle du responsable de traitement. En effet, elle prévoit que le sous-traitant a pris toutes les mesures nécessaires pour détecter la violation.

Clause de sécurité

Elle est essentielle dans la protection de données car elle définit le niveau de sécurité que le sous-traitant doit exiger selon la nature du traitement et la catégorie de données. En outre, l’article 29 du RGPD énonce que les sous-traitants doivent uniquement traiter les données des personnes physiques que le responsable du traitement lui permet.

Votre rôle consiste ainsi à vous assurer que le sous-traitant applique les mesures de sécurité adaptées aux données personnelles traitées et à la finalité du traitement. Dans la pratique, il faut s’assurer que seules les personnes formées et autorisées à tout ce qui se rapporte à la protection des données y ont accès. Des tests réguliers doivent aussi avoir lieu sur les mesures de sécurité pour s’assurer qu’elles restent toujours conformes.

Clause de transfert

Le contrat doit encadrer pleinement les transferts de données en-dehors de l’UE. Étant donné que de nombreux sous-traitants sont établis en-dehors des frontières du RGPD, l’idéal est de leur demander de fournir une liste des pays où sont traitées les données.

Clause d’audit

Bien qu’elle soit souvent négligée, elle reste importante car elle permet de s’assurer que les mesures prises sont bel et bien appliquées et adaptées aux données personnelles. L’idéal est de programmer au moins un audit par an.