RGPD: que demander aux sous-traitants (modèle de lettre à leur envoyer) et que changer aux contrats ? ?

SEO Pour créer, rédiger et optimiser le SEO de vos pages web --> Contactez-nous


Dans la mise en place des éléments nécessaires au respect du RGPD, l'aspect concernant les sous-traitants (article 28 notamment du RGPD) est sans doute le plus compliqué.

En effet, le reste est assez simple, même s'il peut être fastidieux (voir https://www.tubbydev.com/2018/01/rgpd-techniquement-il-faut-faire-quoi-.html#.W5uGNvaYTjo
https://www.tubbydev.com/2018/05/rgpd-concr%C3%A8tement-que-faire-dans-votre-soci%C3%A9t%C3%A9-.html#.W5uGOfaYTjo
https://www.tubbydev.com/2018/06/avoir-des-formulaires-conformes-au-rgpd.html#.W5uGPPaYTjo )

Pour les sous-traitants, il y a essentiellement 2 choses à faire:

  • changer les contrats en y incluant les clauses relatives au RGPD
  • s'assurer auprès d'eux qu'ils sont conformes (ou du moins qu'ils l'assurent) donc leur demander de l'écrire

1) Quels changements apporter à un contrat avec un sous-traitant pour respecter le RGPD ?

Le contrat qui vous lie à vos sous-traitants doit être changer en ce qui concerne:

- l’objet et la durée de la prestation que le sous-traitant effectue pour votre compte
- la nature et la finalité du traitement
- le type de données à caractère personnel que le sous-traitant traite pour votre compte
- les catégories de personnes concernées
- vos obligations et droits en tant que responsable de traitement
- les obligations et droits en tant que sous-traitant tels que prévus à l’article 28 du règlement général de protection des données

Très concrètement, vous pouvez voir les clauses à ajouter sur l'excellent guide de la CNIL sur RGPD et sous-traitance, à partir de la page 14,  à ce sujet sur https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28

que vous pouvez télécharger ici  Téléchargement Rgpd-guide_sous-traitant-cnil

2) Modèle de lettre à envoyer au sous-traitant

Vérifier si vos sous-traitants sont bien conformes avec le RGPD peut être aussi compliqué que de calculer le prélèvement à la source des employés d'une société pour le compte de l'Etat (qui semble avoir oublié qu'il était au service des gens et non l'inverse :-)) donc la solution est comme d'habitude de demander un écrit afin qu'en cas de problème on puisse dire que le sous-traitant avait pourtant assurer que..

Voici un modèle sans prétention de lettre à envoyer à vous sous-traitants (avec le contrat mis à jour) où vous leur demander de vous assurer que oui, ils sont bien en conformité avec le RGPD dans la relation qui vous lie à eux.

Cher sous-traitant,

Comme vous ne l'ignorez sans doute pas, depuis mai 2018, le RGPD (Règlement général de protection de données) est entré en vigueur.

Il comporte beaucoup d'obligations pour les sous-traitants, notamment expliquées dans son article 28 (https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28)

Comme vous êtes amenés à traiter des données à caractère personnel pour le compte de notre société, vous êtes ce que la loi appelle un sous-traitant.

Afin de valider que nous sommes en conformité avec le RGPD, nous vous prions de bien vouloir, par retour de courrier, nous assurer que vous êtes en conformité, dans votre rôle de sous-traitant, avec le RGPD, ce qui implique notamment que vous respectez:

1) Une obligation de transparence (registre des traitements, recensement par écrit des instructions du client, garantie de la finalité, de l’étendue et de la durée du traitement )
2) Une obligation de protection des données, mise en œuvre par tout moyen nécessaire 
3) Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation de celle-ci , ou encore la suppression des données au terme de la prestation
4) Une obligation d’assistance, relative à la bonne exécution du traitement, impliquant une aide quant au respect des droits des personnes, à la sécurité des données, ou encore quand une directive vous semble contraire aux textes en vigueur.
(voir aussi https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf).

Par ailleurs, nous vous prions de trouver ci-joint une mise à jour du contrat qui nous lie, avec l'ajout des obligations du RGPD, à savoir:

- l’objet et la durée de la prestation que vous effectuez pour notre compte
- la nature et la finalité du traitement
- le type de données à caractère personnel que vous traitez pour notre compte 
- les catégories de personnes concernées
- nos obligations et  droits  en tant que responsable de traitement
- vos obligations et droits en tant que sous-traitant tels que prévus à l’article 28 du règlement général de protection des données

les clauses ajoutées dans notre contrat sont celles indiquées à partir de la page 14 du guide de la CNIL https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

 

Dans l'attente de votre confirmation, nous vous prions de croire .....

Avec ça, vous serez parés en cas de problèmes..

Évidemment, sur le fond, tout ça ne change rien..

- Les sous-traitants utilisent eux-mêmes des sous-traitants sans vous demander la permission ..

- Google et les autres continuent de moissonner des données à qui mieux mieux

- Les sites web se contentent de vous faire cliquer sur des pavés vous avertissant que vous leur donnez tous les droits sans que vous n'y compreniez rien

- La CNIL patauge dans les plaintes avec son peu d'effectif et ses moyens rognés par le gouvernement actuel

Et VOUS continuez à donner le bâton pour vous faire battre en utilisant de plus en plus de systèmes intrusifs..

Commentaires sur: RGPD: que demander aux sous-traitants (modèle de lettre à leur envoyer) et que changer aux contrats ? ?

Poster un commentaire sur: RGPD: que demander aux sous-traitants (modèle de lettre à leur envoyer) et que changer aux contrats ? ?







« Retour d'expérience sur la recherche de stagiaire ou contrat d'alternance | Accueil | Migration de Prestashop 1.6 vers la 1.7: les problèmes et la méthode »


Développement it et web, rédaction contenu web,  SEO, scrapping, growth hacking

Besoin de SEO, de développement, de rédaction de contenu web ? Besoin d'un blog, de Wordpress, de Prestashop ou autres nouvelles "choses web" ? Envie de travailler dans ces domaines ? --> Contactez-nous