Assurer la conformité RGPD de vos sous-traitants, ça passe par une série d’étapes essentielles à suivre :
1. Identifier vos sous-traitants
▶️Tous les prestataires qui traitent des données personnelles pour votre compte doivent être considérés comme des sous-traitants au sens du RGPD (Article 4, point 8, RGPD). Il est important d'en faire un inventaire précis et de déterminer la nature des traitements qu'ils effectuent.
💡 Avec Dastra : Utilisez le registre des traitements pour documenter vos sous-traitants, associer leurs traitements aux vôtres et garantir une vision claire de leur rôle et des flux de données.
2. Examiner les contrats liant votre organisation aux sous-traitants
▶️ L'article 28 du RGPD exige que tout traitement de données personnelles par un sous-traitant fasse l'objet d'un contrat précisant :
- Les instructions du responsable de traitement (Article 28, paragraphe 3, alinéa a, RGPD)
- Les obligations du sous-traitant en matière de sécurité et de confidentialité (Article 28, paragraphe 3, alinéa c, RGPD)
- Les conditions de sous-traitance ultérieure (Article 28, paragraphe 2, RGPD)
- Les engagements en cas de violation de données (Article 33, RGPD)
- Les modalités de restitution ou de suppression des données en fin de contrat (Article 28, paragraphe 3, alinéa g, RGPD)
Il est nécessaire de vérifier que ces éléments soient bien présents dans vos contrats existants.
💡 Avec Dastra : Centralisez vos contrats grâce au module dédié, ainsi que les annexes RGPD dans le module "Gestionnaire de fichiers". Automatisez les rappels pour vérifier régulièrement leur conformité grâce aux règles de workflow et gérer les mises à jour contractuelles.
3. Demander des garanties de conformité
▶️ Avant de collaborer avec un sous-traitant, vous pouvez lui demander des preuves concrètes de sa conformité au RGPD, telles que :
4. Réaliser des audits de conformité
▶️ Il est recommandé d'effectuer des audits périodiques des sous-traitants pour s'assurer du respect effectif du RGPD (Article 28, paragraphe 3, alinéa h, RGPD). Ces audits peuvent être menés en interne ou confiés à un organisme tiers.
💡 Avec Dastra : Programmez des audits réguliers grâce au module "Questionnaires", stockez les rapports dans votre espace sécurisé, et suivez les plans d’action correctifs directement dans l’outil.
5. Encadrer le transfert de données hors de l’UE
▶️ Si votre sous-traitant transfère des données hors de l’Union européenne, il sera nécessaire de vérifier que des garanties appropriées sont mises en place telles que :
- Les clauses contractuelles types (CCT) de la Commission européenne (Article 46, RGPD)
- L'adhésion à des codes de conduite ou mécanismes de certification (Article 42 et 46, RGPD)
- Les règles d’entreprise contraignantes (BCR) (Article 47, RGPD)
💡 Avec Dastra : Suivez et documentez les transferts de données dans le registre des traitements et assurez-vous que les clauses nécessaires sont bien en place.
6. Mettre en place un suivi régulier
▶️ La conformité au RGPD n’est pas un événement ponctuel mais un processus continu. Vous pouvez établir un plan de contrôle régulier pour suivre la conformité de vos sous-traitants, par exemple via des questionnaires d’auto-évaluation ou des revues annuelles des engagements contractuels.
💡 Avec Dastra : Automatisez ces contrôles grâce aux workflows intégrés et aux rappels de suivi.
Planifiez des revues régulières et gardez une traçabilité complète.
🚩En résumé
Vérifier la conformité de ses sous-traitants est une obligation légale pour la sécurité des données personnelles. Une démarche rigoureuse permet de réduire les risques juridiques et d’assurer la confiance de vos clients et partenaires. En vous appuyant sur des outils comme Dastra, vous aurez la possibilité de centraliser et automatiser le suivi de la conformité de vos sous-traitants, facilitant ainsi votre mise en conformité.
🔍Pour en savoir plus sur les obligations du responsable de traitement et du sous-traitant, téléchargez notre fiche pratique en cliquant ici!
🔍Pour demander une Démo de Dastra, c'est par là!