Êtes-vous un sous-traitant en lien avec des données personnelles ?
Votre activité vous place peut-être dans la catégorie des sous-traitants au sens du RGPD, c'est-à-dire des personnes ou des sociétés qui gèrent des données pour vos clients.
Si vous êtes par exemple une agence web, un consultant, une société expédiant des courriers pour vos clients, un gestionnaire d'applications, un intermédiaire financier, etc. vous gérez des données personnelles qui vous sont confiées par vos clients et que vous devrez traiter en fonction de leurs instructions.
Vous allez donc recevoir des contrats des responsables de traitement avec qui vous travaillez. Aujourd’hui, il n’y a pas encore de clauses ou de contrats types proposés par les autorités de protection des données. Il est important de lire attentivement ces contrats.
Vous pouvez évidemment les comparer avec le contrat type que nous proposons dans la rubrique "sous-traitants".
Si vous le souhaitez vous pouvez le soumettre à votre DPO, un juriste ou à un avocat spécialisé en RGPD.
GDPR Folder : votre allié pour la gestion de données
Afin que GDPRfolder soit en permanence à jour par rapport aux évolutions de la règlementation sur la protection des données, et afin d'informer au mieux nos clients par rapport à leurs obligations, nous avons adapté le contenu de la rubrique "traitements réalisés en sous-traitance" du questionnaire de GDPRfolder afin que vous puissiez comprendre quelles sont vos obligations en tant que sous-traitant.
Nous en reprenons quelques-unes ci-dessous, la liste complète, proposée par la CNIL, étant à votre disposition dans le questionnaire de GDPRfolder.
- Demander l’autorisation écrite de votre client si, en tant que sous-traitant, vous faites vous-même appel à un sous-traitant.(nous vous recommandons de copier la liste des sous-traitants que vous avez établies dans la liste “mes sous-traitants” et de la transmettre à votre client.)
- Mettre à la disposition de votre client toutes les informations nécessaires pour démontrer le respect de vos obligations et pour permettre la réalisation d’audits (vous pourrez montrer à votre client le « dossier RGPD » que vous permet d’imprimer GDPRfolder)
- Démontrer que vos employés qui traitent les données de vos clients sont soumis à une obligation de confidentialité. (le dossier RGPD montre que vos employés ont signé une clause de confidentialité)
- Notifier à votre client toute violation de ses données.
- Au terme de votre prestation et selon les instructions de votre client, vous devrez soit supprimer toutes les données ou les renvoyer à votre client soit détruire les copies existantes sauf obligation légale de les conserver.
- Lorsqu’une personne exerce ses droits (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage) vous devez, dans toute la mesure du possible, aider votre client à donner suite à cette demande.
- Compte tenu des informations à votre disposition, vous devez aider votre client à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.
Envie d'en savoir plus ?
Vous cherchez une solution clé en main pour votre gestion RGPD ?
Contactez-nous pour en savoir plus sur notre solution et sur ses applications.