[Étape 15 du RGPD] Comment établir des accords de partage des données
Le Règlement général sur la protection des données (RGPD), introduit par l’Union européenne (UE), est entré en vigueur le 25 mai 2018. Ce règlement attribue la responsabilité de la protection des données à caractère personnel des personnes concernées aux entreprises et à leurs fournisseurs. Pour garantir leur responsabilisation et assigner des rôles précis à l’ensemble des parties prenantes, des accords pertinents de partage des données doivent être établis.
Talend a récemment mis en ligne un webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD, portant sur un plan global en 16 étapes pour mettre en œuvre un programme de gouvernance des données afin d’assurer la conformité au RGPD.
Établir des accords de partage des données est l’Étape 15 de ce plan. Pour en savoir plus sur les quatorze premières étapes, consultez les liens dans la barre latérale !
Le point de vue du RGPD sur les accords de partage des données
Le RGPD s’applique au responsable du traitement (une entité qui détermine la finalité et les moyens du traitement des données à caractère personnel) et au sous-traitant (l’entité qui traite les données à caractère personnel pour le compte d’un responsable du traitement) des données à caractère personnel. Le responsable du traitement est généralement l’entreprise qui collecte des données à caractère personnel et suit ses utilisations à des fins professionnelles. Le terme « sous-traitant » se réfère au fournisseur, à qui une partie de l’activité est sous-traitée par le responsable du traitement. Pendant le processus d’externalisation, le sous-traitant dispose également d’un accès aux données à caractère personnel.
Ce partenariat soulève des questions telles que : « En cas de violation des données à caractère personnel, qui est responsable ? »
Pour répondre à cette question et à d’autres questions pertinentes, le RGPD souligne la nécessité d’établir des accords de partage des données.
L’Article 28.3 du RGPD exige que l’ensemble des activités de traitement menées par un sous-traitant soit régi par un contrat avec le responsable du traitement. Le contrat doit définir les conditions d’utilisation des données personnelles, à savoir :
- L’objet du traitement
- La durée du traitement
- La nature et la finalité du traitement
- Le type de données à caractère personnel
- Les catégories de personnes concernées
- Les obligations et droits du responsable du traitement
L’Article 28.4 stipule que les mêmes obligations en matière de protection de données s’appliquent lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement. En cas de violation, l’article établit clairement que « lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations. »
Pour confirmer ces obligations juridiques et en vertu du RGPD, les responsables du traitement ont l’obligation d’établir des accords de partage des données avec leurs sous-traitants.
Quatre thèmes clés des accords de partages des données
Les équipes de gouvernance des données jouent un rôle important dans la négociation d’accords de partage des données. Elles doivent s’assurer de l’approbation préalable des équipes juridique et de la conformité avant tout transfert de données à caractère personnel d’un citoyen de l’UE d’un pays à un autre, d’une entreprise à un fournisseur et d’un fournisseur à un sous-traitant en aval.
Voici quelques thèmes généraux qui doivent être intégrés dans les accords.
1 Respect des normes de protection des données
Les accords de partage des données doivent obliger le sous-traitant possédant l’infrastructure et les systèmes adéquats à protéger les données à caractère personnel des personnes concernées. Cela implique de tenir un registre de l’ensemble des activités de traitement, et l’« oubli » de toutes les données au terme du contrat, ou sur demande de la personne concernée.
2 Consentement préalable à l’externalisation
Les fournisseurs ne peuvent pas externaliser des données à caractère personnel sans le consentement du responsable du traitement. Les accords doivent être réévalués et rédigés à nouveau pour inclure également les sous-traitants en aval, le cas échéant.
3 Cas de non-respect
Les accords doivent aborder les cas de violation et clarifier les rôles et les responsabilités dans de tels cas. Si un sous-traitant se trouve confronté à un cas de violation, il doit en informer immédiatement le responsable du traitement et lui offrir l’aide qui convient pour faire face aux conséquences en découlant.
4 Évaluation du risque
Les responsables du traitement doivent effectuer une évaluation du risque concernant le fournisseur pour s’assurer que ce dernier a les moyens et la volonté de respecter les normes de protection des données. Les résultats de l’évaluation doivent être documentés avant tout engagement de l’entreprise et avant tout partage de données à caractère personnel.
De la même manière, les responsables du traitement doivent mener des audits de manière régulière pour affirmer la confiance continue envers le fournisseur. Ces résultats doivent également être documentés, tout comme les rapports d’évaluation du risque, afin de confirmer qu’un responsable du traitement a fait preuve de diligence raisonnable pour préserver la confidentialité des données à caractère personnel.
Étapes suivantes pour établir des accords de partage des données
Les accords de partage des données sont des documents juridiques complexes. Ces accords peuvent cependant éviter des situations compliquées en cas de violation, et contribuent également à protéger les données à caractère personnel, ce qui est l’objectif principal du RGPD. Talend Metadata Manager permet de capturer ces accords de partage des données de manière sémantique, mais aussi de suivre et retracer la localisation et le mouvement de données physiques dans un paysage de données.
L’étape suivante du plan global en 16 étapes de Talend consiste à assurer la conformité aux contrôles du RGPD.
← Étape 14 | Étape 16 →
Plus d'articles connexes
- Tout comprendre au RGPD grâce au guide Talend
- Qu'est-ce que la minimisation des données ?
- Se préparer au RGPD
- [Étape 14 du RGPD] Comment contrôler le cycle de vie des informations
- [Étape 16 du RGPD] Comment assurer la conformité au RGPD avec les contrôles
- [Étape 13 du RGPD] Comment gérer l’End User Computing
- [Étape 11 du RGPD] Comment reconstituer le lignage des données pour le RGPD
- [Étape 9 du RGPD] Comment mener des évaluations du risque lié au prestataire
- [Étape 12 du RGPD] Comment contrôler les modèles analytiques
- [Étape 10 du RGPD] Comment améliorer la qualité des données
- [Étape 8 du RGPD] Les Analyses d’Impact relatives à la Protection des Données
- [Étape 7 du RGPD] Comment instaurer des normes de masquage des données
- [Étape 3 du RGPD] Comment confirmer les propriétaires des données
- [Étape 6 du RGPD] Comment définir des normes d’utilisation acceptable pour le RGPD
- [Étape 2 du RGPD] L’importance de créer une taxonomie des données
- [Étape 4 du RGPD] Comment identifier des ensembles de données critiques et des éléments de données critiques
- [Étape 1 du RGPD] Comment développer des politiques, normes et contrôles
- [Étape 5 du RGPD] Comment établir des normes de collecte des données