François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez la gestion des données personnelles de vos clients.
Youtube est désactivé. Autorisez le dépôt de cookies pour accéder au contenu.
Suite à l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, vous avez
– normalement – revu vos procédures afin de sécuriser le traitement des données à caractère personnel, qu’elles soient numériques ou papiers (mailing, gestion de paie, etc.).
Toutes les entreprises, administrations ou associations, établies sur le territoire de l’Union Europénne ou dont l’activité cible des résidents européens sont aujourd’hui concernées. Mais qu’en est-il si vous avez délégué le traitement des données personnelles de vos clients à un sous-traitant ?
Vous restez responsable car le RGPD a mis en place une responsabilité solidaire, c’est-à-dire une co-responsabilité avec le sous-traitant, renforcée par une obligation de collaboration entre vous et lui. Le sous-traitant doit ainsi notifier votre responsable de traitement de toute tentative de violation de données personnelles « dans les meilleurs délais ». Selon la gravité de la violation, votre responsable devra ensuite notifier l’autorité de contrôle et les personnes concernées.
On considère qu’il y a une violation des données à caractère personnel s’il y a une violation de la sécurité qui entraine, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non-autorisé à de telles données(1). Cela peut donc être, par exemple, la suppression accidentelle de données médicales conservées par un établissement de santé, ou la perte d’une clé USB contenant les informations clients d’une société. Il peut aussi s’agir d’une introduction malveillante dans une base de données afin de les modifier ou les copier.
(1) Article 4.12 du RGPD
Nous vous recommandons donc de renforcer le contenu de vos contrats de sous-traitance, en incluant par exemple une clause stipulant que le sous-traitant devra effectuer pour votre compte cette notification à la CNIL et aux clients concernés. Mais même dans ce cas, vous devrez mettre à jour le registre des violations et rester maître de la décision de notifier ou non à l’autorité de contrôle, en fonction du risque estimé.
De manière générale, le contrat de sous-traitance doit clairement définir et délimiter les missions du sous-traitant, son périmètre d’intervention, ses obligations et ses responsabilités.
Enfin, n’oubliez pas que désormais votre sous-traitant a obligation d’assistance, d’alerte et de conseil envers vous. Il doit donc :
Ne prenez pas ce sujet à la légère en précisant bien les termes du contrat !
Pour rappel, en cas de violation ou d’utilisation abusive de données, la CNIL peut ordonner la suspension ou la suppression de services et/ou prononcer des condamnations financières pouvant aller jusqu’à 20 millions € ou 4 % du chiffre d’affaires annuel.
Près de deux ans après l'entrée en vigueur du RGPD, 26% des entreprises concernées ont déclaré la nomination d'un délégué à la protection des données (DPO)(1). Une bonne raison pour vérifier si votre entreprise est soumise à cette obligation…
La fraude en entreprise est un risque bien réel. Selon une étude menée par Grant Thornton en 2017, plus des trois quarts des entreprises interrogées déclaraient avoir subi une tentative de fraude au cours des deux dernières années(1). Focus sur les principaux types de fraude pour mieux vous en prémunir et adopter...
Le 25 mai 2018, le Règlement Général sur la Protection des Données est entré en application au sein de l’Union Européenne. Renforçant la protection des données personnelles, il implique la responsabilité des entreprises et les amène à se poser des questions quant aux changements engendrés par ce règlement, à ses...
.
La dématérialisation des procédures - due à l'essor du télétravail - expose vos collaborateurs et votre entreprise à de nouveaux risques : vol de données, hameçonnage, défaillances liées aux logiciels. Avec l’assurance Cyber-Risques MMA, vous bénéficiez de garanties d’assurance adaptées(1).
(1) Nos prises en charge sont faites en application des garanties ou options souscrites et des conditions, limites, exclusions de garanties et du montant des franchises qui sont précisées dans les Conditions Générales, Conditions Particulières du contrat Assurance Cyber –Risques MMA.