144 – L’audit de la Sous-Traitance

Le contrat doit prévoir que le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
Le responsable de traitement doit pouvoir vérifier que les règles GDPR sont bien appliquées par son sous-traitant. Outre le fait de contractuellement prévoir cette possibilité d’audit, il est nécessaire de réaliser de manière effective ces audits régulièrement.

074 – Réponse aux droits accès et portabilité

Afin de répondre aux demandes de droit d’accès, vous êtes tenus de communiquer à la personne concernée : la confirmation que les données personnelles de la personne concernée font ou ne font pas l’objet d’un traitement, une copie des données personnelles, la durée de conservation ou les critères utilisés pour la déterminer, en cas de collecte indirecte, la source des données personnelles, la finalité du traitement, les conséquences du traitement dans le cadre d’un profilage, les catégories de données, l’identité des destinataires, la logique qui sous-tend le traitement automatisé.
Vous devez également accéder aux demandes d’exercice du droit à la portabilité de vos clients. Vos clients ont le droit de récupérer les données les concernant dans un format structuré, couramment utilisé et lisible par machine. Cela concerne les données fournies par la personne concernée dans le cadre de traitements automatisés (ce qui inclut les données déclarées activement et consciemment par la personne concernée (Ex : compte en ligne) et les données générées par la personne concernée lors de l’utilisation du service/appareil).
Vous n’êtes, par contre, pas tenus de communiquer les données dérivées, calculées ou inférées à vos clients.

087 – Le contenu des PIA

L’analyse d’impact doit comporter les éléments suivants : description des opérations de traitement et finalités, évaluation des risques, mesures pour faire face aux risques, évaluation de la nécessité et de la proportionnalité, mesures permettant d’apporter la preuve du respect de la conformité. Bien qu’il n’existe pas de formalisme imposé, il peut être conseillé de s’appuyer sur le logiciel PIA de la CNIL pour être sûr que le PIA soit complet. Une première partie du PIA repose sur une analyse juridique (respect des principes fondamentaux et des droits des personnes concernées) et une deuxième est orientée risques en termes de sécurité.  
https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-pia

051 – Les éléments du contrat de sous-traitant

En cas de sous-traitance, le responsable de traitement doit faire appel uniquement à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du GDPR.

La relation avec un sous-traitant est régie par un contrat qui prévoit l’objet, la durée, la finalité du traitement et les obligations des parties. Il doit par ailleurs contenir (liste non exhaustive) :

  • Les obligations des parties en matière de confidentialité des données personnelles confiées ;
  • Le fait que le sous-traitant ne peut agir que sur instructions documentées du responsable de traitement
  • Les contraintes minimales en matière d’authentification des utilisateurs ;
  • Les conditions de restitution et/ou de destruction des données en fin du contrat ;
  • Les règles de gestion et de notification des incidents. Celles-ci devraient comprendre une information du responsable de traitement en cas de découverte de faille de sécurité ou d’incident de sécurité et cela dans les plus brefs délais lorsqu’il s’agit d’une violation de données à caractère personnel.

Ce contrat doit également prévoir que le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au GDPR, pour permettre la réalisation d’audits et inspections par le responsable du traitement ou un autre auditeur qu’il a mandaté et contribuer à ces audits.

Enfin, le sous-traitant doit veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation de confidentialité légale appropriée.

072 – Les tiers

Les destinataires (organismes, entités, services…) peuvent être :
1) des sous-traitants : il s’agit des organismes auxquels vous allez recourir dans le cadre d’une externalisation de certains services ou qui vont réaliser uniquement certaines opérations dans le cadre d’un traitement. Ils vont agir en votre nom et pour votre compte et uniquement sur vos instructions (prestataires qui exécutent précisément ce que vous leur demandez).
2) les coresponsables : cette catégorie fait référence aux organismes qui vont déterminer avec vous les finalités et moyens du traitement (des partenaires avec qui vous allez partager les données pour en faire, chacun de votre côté, ce que vous voulez).
3) Les destinataires externes à votre organisme font référence à ceux qui obtiennent communication des données personnelles de votre part.
Si la répartition entre les différents statuts est difficile à opérer, nous vous invitons à consulter les lignes directrices sur la notion de responsable du traitement.
Il est recommandé d’effectuer un inventaire des sous-traitants auxquels vous recourez. Cela permet de vérifier si ces sous-traitants respectent le RGPD et si les contrats signés avec eux contiennent des clauses adaptées.
Sous peine de sanction pénale et de nullité de la relation commerciale, un accord écrit est nécessaire avec les sous-traitants et les coresponsables du traitement. Le contrat doit comprendre de nombreuses clauses, et notamment définir l’objet et la durée du traitement effectué par le sous-traitant, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et les droits du responsable du traitement.

222 – Mentions d’information obligatoires

Que vous collectiez des données directement auprès des personnes concernées ou de façon indirecte (par exemple, achat de bases de données de prospects), vous devez fournir un certain nombre d’informations sur les traitements de leurs données.

Les informations à délivrer sont les suivantes (liste non exhaustive) :

  • L’identité et les coordonnées de votre organisme;
  • Les coordonnées de votre Délégué à la Protection des Données (DPO) ;
  • L’utilisation qui sera faite des données (finalité(s) du(es) traitement(s)) ;
  • Les destinataires des données ;
  • La durée de conservation des données ;
  • Les modalités permettant aux personnes d’exercer leurs droits ;
  • Les transferts de données hors de l’UE réalisés

Les données sensibles

Les “données sensibles” sont les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Les traitements à grande échelle n’ont pas été définis par les autorités ou le législateur, mais il convient de rester prudent : si le gestionnaire estime subjectivement qu’il existe de nombreuses données personnelles dans cette base, alors elle participe à un traitement à grande échelle.