Travailler avec vos fournisseurs sur la mise en conformité avec le RGPD
Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018 et toutes les entreprises, quelle que soit leur taille, s’y préparent. Le RGPD marque un changement significatif par rapport au cadre juridique actuel régissant la protection des données dans l’Union européenne. Le règlement s’appliquera également hors de ses frontières, puisque les entreprises basées en dehors de l’UE qui vendent des biens et des services à des individus situés dans l’UE ou contrôlent leurs comportements seront également concernées.
Responsabilité à l’égard des données
Le RGPD met l’accent sur la responsabilité des entreprises qui traitent des données. Elles doivent être en mesure de prouver leur mise en conformité avec les principes fondamentaux de la protection des données et notamment la légalité, l’impartialité, la transparence et la minimisation des données. Néanmoins, la responsabilité ne se limite pas aux données qui transitent au sein de votre entreprise. Dans la mesure où les données sont bien souvent transmises aux entreprises avec lesquelles vous collaborez (gestionnaires de paie, services de productivité dans le cloud etc.), votre relation avec vos fournisseurs sera également un facteur essentiel de mise en conformité de votre entreprise.
Mêmes principes fondamentaux, exigences renforcées
Le RGPD s’appuie sur le cadre juridique actuel, y compris sur la directive européenne relative à la protection des données à caractère personnel en vigueur. Toutefois, il impose un régime de protection des données plus contraignant, notamment en termes d’organisation du traitement. Le RGPD reprend de nombreux concepts et principes fondateurs du régime actuel, tels que le rôle du responsable de traitement et du sous-traitant. Le responsable de traitement est chargé de déterminer pourquoi et comment traiter les données à caractère personnel, tandis que le sous-traitant peut être engagé par un responsable de traitement pour traiter des données en son nom, en tant qu’agent ou fournisseur.
Si le RGPD ne devrait pas transformer radicalement la relation entre votre entreprise, agissant en qualité de responsable de traitement, et vos fournisseurs, agissant en qualité de sous-traitants, il accordera une plus grande importance au rôle joué par les sous-traitants en encadrant directement leur activité pour la première fois. Actuellement, la directive ne concerne directement que les responsables de traitement et non les sous-traitants.
L’accent sur la sécurité
Le RGPD oblige les responsables de traitement à mettre en place des normes de sécurité appropriées et à choisir des sous-traitants qui mettent eux-mêmes en place des mesures techniques et organisationnelles répondant aux exigences du règlement. Il s’agit d’une obligation plus large que la directive actuelle. C’est pourquoi les responsables de traitement doivent choisir un sous-traitant en phase avec leur stratégie de mise en conformité. Dans certains cas, les fournisseurs peuvent vous être d’une aide précieuse dans votre processus de mise en conformité et disposeront peut-être déjà des outils dont vous aurez besoin. Le RGPD aura donc un impact sur tous les aspects de votre relation avec votre sous-traitant : son choix, le contenu de son contrat et la manière dont les données sont traitées à l’issue du contrat.
Liste de vérification du fournisseur
Selon le RGPD, le responsable de traitement doit s’assurer que le fournisseur respecte certaines obligations. Notamment l’obligation de tenir un registre adéquat (article 30), de coopérer avec l’autorité nationale de contrôle (article 31), de mettre en place les normes de sécurité appropriées (article 32), d’évaluer l’impact de la protection des données (article 35), de désigner un délégué à la protection des données (DPO) (article 37) et de respecter les dispositions en matière de transfert de données (chapitre V). D’autres obligations (article 28) prévoient la rédaction et la signature d’un contrat de traitement des données entre votre entreprise et son fournisseur.
Évaluation de la chaîne de traitement
L’évaluation de la relation entre le responsable de traitement et le sous-traitant se fait en deux temps. Tout d’abord, les chaînes de traitement devront être évaluées pour déterminer leur conformité actuelle avec le RGPD. En second lieu, dans de nombreux cas, les contrats devront être examinés pour vérifier s’ils répondent bien aux exigences du RGPD. Les entreprises doivent agir dès maintenant pour s’assurer que tout contrat encore en vigueur après le 25 mai 2018 sera en conformité avec les nouvelles dispositions. Sont concernés les contrats avec les nouveaux fournisseurs ainsi que les contrats existants, pour lesquels vous devez prévoir un délai suffisant si les conditions existantes doivent être renégociées.
Conformité continue
Bien entendu, la mise en conformité avec le RGPD ne se limite pas à la relation avec vos fournisseurs, elle implique une réflexion plus large sur la manière dont les données transitent et sont protégées au sein de votre entreprise. Néanmoins, vos fournisseurs devraient être des partenaires privilégiés dans votre processus de conformité.
Dyann Heward-Mills est le responsable du groupe de travail sur la protection des données et la cybersécurité dans le bureau de Londres de Baker McKenzie.