Connexion Pro

Conseils pour votre quotidien d'entrepreneur

RGPD : avez-vous pensé à vos sous-traitants ?

François Carlach, expert juridique MMA, précise vos responsabilités dans le cadre du RGPD si vous sous-traitez le traitement des données personnelles de vos clients.

 

Suite à l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai dernier, vous avez -normalement- revu vos procédures afin de sécuriser le traitement des données à caractère personnel, qu’elles soient numériques ou papiers (mailing, gestion de paie, etc.).

Toutes les entreprises, administrations ou associations, sont aujourd’hui concernées. Mais qu’en est-il si vous avez délégué le traitement des données personnelles de vos clients à un sous-traitant ?

Vous restez responsable car le RGPD a mis en place une responsabilité solidaire, c’est-à-dire une co-responsabilité avec le sous-traitant, renforcée par une obligation de collaboration entre vous et lui. Le sous-traitant doit ainsi notifier votre responsable de traitement de toute tentative de violation de données personnelles « dans les meilleurs délais ». Et votre responsable dispose lui d’un délai de 72 heures seulement pour notifier client(s) et CNIL.

Nous vous recommandons donc de renforcer le contenu de vos contrats de sous-traitance, en incluant par exemple une clause stipulant que le sous-traitant devra effectuer pour votre compte cette notification à la CNIL et aux clients concernés.

De manière générale, le contrat de sous-traitance doit clairement définir et délimiter les missions du sous-traitant, son périmètre d’intervention, ses obligations et ses responsabilités.

Enfin, n’oubliez pas que désormais votre sous-traitant a obligation d’assistance, d’alerte et de conseil envers vous. Il doit donc :

  • vous prévenir si une de vos instructions constitue une violation des règles en matière de protection des données
  • vous aider à donner suite à la demande d’un client d’exercer ses droits sur ses données
  • et vous apporter la bonne information en cas de violation de données, notamment en précisant les impacts éventuels.

Ne prenez pas ce sujet à la légère en précisant bien les termes du contrat !

Pour rappel, en cas de violation ou d’utilisation abusive de données, la CNIL peut ordonner la suspension ou la suppression de services et/ou prononcer des condamnations financières pouvant aller jusqu’à 20 millions € ou 4 % du chiffre d’affaires annuel.

Voir les autres articles du dossier

RGPD : la certification de votre DPO

Six mois après l'entrée en vigueur du RGPD, seulement 16 % des entreprises concernées ont déclaré la nomination d'un délégué à la protection des données (DPO)(1). Une bonne raison pour vérifier que votre entreprise n'est pas soumise à cette obligation…

Fraude en entreprise : comment s’en protéger et réagir ?

La fraude en entreprise est un risque bien réel. Selon une étude menée par Grant Thornton en 2017, plus des trois quarts des entreprises interrogées déclaraient avoir subi une tentative de fraude au cours des deux dernières années(1). Focus sur les principaux types de fraude pour mieux vous en prémunir et adopter...

Données personnelles et RGPD : la FAQ des pros et entreprises

Le 25 mai 2018, le Règlement Général sur la Protection des Données entre en application au sein de l’Union européenne. Renforçant la protection des données personnelles, il implique la responsabilité des entreprises et les amène à se poser des questions quant aux changements engendrés par ce règlement, à ses conditions...

Autodiagnostic RGPD : votre TPE-PME est-elle en conformité ?

Depuis le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) est entré en application, imposant aux entreprises des règles de collecte et d’utilisation des données personnelles plus contraignantes. MMA a conçu un diagnostic en ligne pour vous permettre, TPE et PME, d’évaluer vos pratiques et...

Protéger vos données avec l’assurance Cyber-risques de MMA !

Multirisque pro MMA © Shutterstock

Vol de données, hameçonnage, défaillances liées aux logiciels… Avec la multiplication des cyberattaques, protéger votre système informatique et les données de votre entreprise, devient nécessaire. Pour limiter au mieux les situations de blocage et de pertes financières liées  aux cyber-risques, bénéficiez(1) de garanties d’assurance adaptées.

Assurance Cyber-risques

 (1) Nos prises en charge sont faites en application des garanties ou options souscrites et des conditions, limites, exclusions de garanties et du montant des franchises qui sont précisées dans les Conditions Générales,   Conditions Particulières du contrat  Assurance Cyber –Risques MMA