Comment s’assurer de la conformité RGPD de mes sous-traitants ?

Vous vous êtes lancés dans un site de vente en ligne, vous commercialisez vos propres produits ou vous pratiquez le dropshipping via divers fournisseurs via Aliexpress ou Bigbuy. Légalement, vous êtes le “responsable de traitement”, c’est à dire que vous avez la responsabilité de comment sont utilisées et stockées les données de vos clients sur votre site et mais également chez les autres sociétés avec qui vous travaillez (plateforme d’e-commerce, applications tierces, Aliexpress, fournisseurs, services postaux). Vous devez donc vous assurer que les tierces parties avec qui vous traitez ont bien adopté toutes les mesures nécessaires pour protéger les données de vos clients, car en cas de fuite de données personnelles chez l’une de ces sociétés, vous pouvez être sanctionné par les autorités de contrôle (CNIL en France). Par où commencer ?

Listez vos sous-traitants

Tout d’abord, il est important d’avoir une vue d’ensemble de vos sous-traitants et des données que vous leur transmettez. Vous devez pouvoir vous baser sur votre registre des activités de traitement, document qui recense tout ce que vous faites avec les données personnelles et que toute structure doit obligatoirement mettre en place et tenir à jour pour être conforme au RGPD.

Le terme « sous-traitant » concerne toute société qui fournit un service que vous utilisez et à laquelle vous transmettez des données personnelles. Ci-dessous une liste non exhaustive de sous-traitants éventuels :

  • Votre hébergeur web
  • Votre CRM
  • Votre plateforme d’e-commerce : Shopify, Dropizi…
  • Vos fournisseurs : Aliexpress, Big Buy…
  • Vos applications marketing : Mailchimp, Splio, Sendinblue…
  • Votre application de relation client : Zendesk, Helpscout…
  • Votre passerelle de paiement : Bluesnap, Mollie, Stripe, Paypal…
  • Vos services postaux
  • Etc.

Et si vous avez des employés, le traitement de leurs données personnelles rentre également dans le cadre du RGPD. Vous devez donc considérer :

  • Votre logiciel RH
  • Vos assurances
  • Votre comptable
  • Etc.

Vérifiez la documentation à votre disposition

La plupart des plateformes numériques affichent leur politique de protection de l’information directement sur leur site, et des dispositions relatives au RGPD figurent probablement dans les conditions d’utilisation que vous avez acceptées ou dans addendum concernant le traitement des données. A travers les documents à votre disposition, vérifiez que vous retrouvez bien les informations suivantes :

  • Le type de données personnelles récoltées
  • Les finalités précises du traitement et la durée de conservation
  • Les conditions de stockage des données (transferts hors Union Européenne ?)
  • Les engagements en matière de sécurité des données
  • La réponse aux demandes d’exercice de droits
  • Le transfert des données à des sous-traitants ultérieurs
  • La volonté de coopération avec les autorités en cas de contrôle ou de fuite de données
  • Les modalités de notification et les mesures d’urgence en cas de fuite de données
  • Les coordonnées du DPO ou autre référent sur la question des données personnelles

Par exemple, Shopify affiche sur son site une documentation fournie concernant les mesures prises dans le cadre du RGPD, avec des conseils pour accompagner les utilisateurs dans leur conformité.

De même pour Mailchimp, qui traite les points ci-dessous dans son addendum au traitement des données, et détaille dans une page annexe toutes ses mesures de sécurité :

Enfin, GDPR tracker répertorie le statut de conformité RGPD de plus de 100 applications : https://gdprtracker.io/

Posez quelques questions, demandez confirmation par écrit

Si rien dans les informations précédemment fournies par vos sous-traitants ne fait référence à la conformité RGPD, contactez-les et posez quelques questions pour vérifier les processus de gestion des données personnelles et les mesures de sécurité mis en place.

Si votre sous-traitant ne sait pas ce qu’est le RGPD, mieux vaut faire preuve de bon sens et ne pas continuer la relation commerciale. Souvenez-vous, c’est vers vous que se tournera l’autorité de contrôle en cas de problème, il est donc important que vous ne traitiez qu’avec des sous-traitants qui sont conformes au RGPD et dont vous avez des preuves. Si vous avez effectué ces vérifications, l’autorité de contrôle pourra constater que vous avez fait preuve de bonne volonté et être plus indulgente.

Voici quelques questions à poser à votre sous-traitant :

  • Comment utilise-t-il les données personnelles que vous lui transmettez ?
  • Quelles sont les mesures mises en œuvre pour sécuriser ces données ?
  • Où ces données sont-elles stockées ? Si hors Union Européenne, l’hébergeur est-il conforme au RGPD ?
  • Effectue-il des copies des données personnelles qu’il stocke ?
  • Comment gère-t-il les données personnelles de vos clients en fin de contrat ?
  • Comment répond-il aux demandes d’exercice de droit ?
  • Comment compte-t-il vous informer en cas de fuite de données ?

Solliciter un entretien pour aborder le RGPD avec vos fournisseurs peut être l’occasion de créer davantage de liens. Soyez amical dans vos échanges afin de contribuer à une bonne relation. La conformité est une étape obligatoire lors du traitement des données de citoyens de l’Union Européenne et nécessite la collaboration de toutes les parties.

Autant que possible, établissez contractuellement les rôles et responsabilités de chacun

La meilleure manière de vous assurer que vos sous-traitants mettent en œuvre le nécessaire en matière de RGPD est de le confirmer contractuellement. Cela vous permettra de vous protéger en cas de fuite de données, en prouvant à l’autorité de contrôle que vous avez traité le sujet de la protection des données avec vos sous-traitants.

Vous pouvez réviser vos contrats commerciaux et intégrer des clauses RGPD en vous inspirant de ce modèle de la CNIL :  https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses, ou – pour un contrat en anglais – inclure une annexe de ce type : https://gdpr.eu/data-processing-agreement/.

Soyez précis sur les instructions que vous donnez à vos sous-traitants. Par exemple, en ce qui concerne la durée de conservation des données, c’est à vous de préciser combien de temps vos sous-traitant doivent les conserver.

Ai-je besoin de mentionner le nom de mes sous-traitants dans ma politique de confidentialité ?

Le RGPD demande d’indiquer les catégories de destinataires des données, c’est-à-dire toutes les personnes et organismes qui ont besoin d’accéder aux données : votre équipe, vos sous-traitants, vos partenaires, les organismes publics…  Toutefois, vous n’avez pas besoin de préciser les noms de vos sous-traitants. En effet, ces informations ont une valeur commerciale pour votre entreprise et sont donc protégées par la loi relative au secret des affaires.

Besoin d’aide pour gérer la vérification de conformité de vos sous-traitants ?

Nous pouvons gérer la vérification de la conformité de tous vos sous-traitants pour vous, et vous aider dans l’établissement de vos contrats de sous-traitance dans plusieurs langues européennes. Pour plus d’information, c’est par ici.