Le Règlement général sur la protection des données (RGPD), introduit par l’Union européenne (UE), est entré en vigueur le 25 mai 2018. Ce règlement attribue la responsabilité de la protection des données à caractère personnel des personnes concernées aux entreprises et à leurs fournisseurs. Pour garantir leur responsabilisation et assigner des rôles précis à l’ensemble des parties prenantes, des accords pertinents de partage des données doivent être établis.

Talend a récemment mis en ligne un webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD, portant sur un plan global en 16 étapes pour mettre en œuvre un programme de gouvernance des données afin d’assurer la conformité au RGPD.

Établir des accords de partage des données est l’Étape 15 de ce plan. Pour en savoir plus sur les quatorze premières étapes, consultez les liens dans la barre latérale !

Télécharger Comment établir des accords de partage des données [Étape 15 du RGPD] maintenant
En savoir plus

Le point de vue du RGPD sur les accords de partage des données

Le RGPD s’applique au responsable du traitement (une entité qui détermine la finalité et les moyens du traitement des données à caractère personnel) et au sous-traitant (l’entité qui traite les données à caractère personnel pour le compte d’un responsable du traitement) des données à caractère personnel. Le responsable du traitement est généralement l’entreprise qui collecte des données à caractère personnel et suit ses utilisations à des fins professionnelles. Le terme « sous-traitant » se réfère au fournisseur, à qui une partie de l’activité est sous-traitée par le responsable du traitement. Pendant le processus d’externalisation, le sous-traitant dispose également d’un accès aux données à caractère personnel.

Ce partenariat soulève des questions telles que : « En cas de violation des données à caractère personnel, qui est responsable ? »

Pour répondre à cette question et à d’autres questions pertinentes, le RGPD souligne la nécessité d’établir des accords de partage des données.

L’Article 28.3 du RGPD exige que l’ensemble des activités de traitement menées par un sous-traitant soit régi par un contrat avec le responsable du traitement. Le contrat doit définir les conditions d’utilisation des données personnelles, à savoir :

  • L’objet du traitement
  • La durée du traitement
  • La nature et la finalité du traitement
  • Le type de données à caractère personnel
  • Les catégories de personnes concernées
  • Les obligations et droits du responsable du traitement

L’Article 28.4 stipule que les mêmes obligations en matière de protection de données s’appliquent lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement. En cas de violation, l’article établit clairement que « lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations. »

Pour confirmer ces obligations juridiques et en vertu du RGPD, les responsables du traitement ont l’obligation d’établir des accords de partage des données avec leurs sous-traitants.

Quatre thèmes clés des accords de partages des données

Les équipes de gouvernance des données jouent un rôle important dans la négociation d’accords de partage des données. Elles doivent s’assurer de l’approbation préalable des équipes juridique et de la conformité avant tout transfert de données à caractère personnel d’un citoyen de l’UE d’un pays à un autre, d’une entreprise à un fournisseur et d’un fournisseur à un sous-traitant en aval.

Voici quelques thèmes généraux qui doivent être intégrés dans les accords.

1 Respect des normes de protection des données

Les accords de partage des données doivent obliger le sous-traitant possédant l’infrastructure et les systèmes adéquats à protéger les données à caractère personnel des personnes concernées. Cela implique de tenir un registre de l’ensemble des activités de traitement, et l’« oubli » de toutes les données au terme du contrat, ou sur demande de la personne concernée.

2 Consentement préalable à l’externalisation

Les fournisseurs ne peuvent pas externaliser des données à caractère personnel sans le consentement du responsable du traitement. Les accords doivent être réévalués et rédigés à nouveau pour inclure également les sous-traitants en aval, le cas échéant.

3 Cas de non-respect

Les accords doivent aborder les cas de violation et clarifier les rôles et les responsabilités dans de tels cas. Si un sous-traitant se trouve confronté à un cas de violation, il doit en informer immédiatement le responsable du traitement et lui offrir l’aide qui convient pour faire face aux conséquences en découlant.

4 Évaluation du risque

Les responsables du traitement doivent effectuer une évaluation du risque concernant le fournisseur pour s’assurer que ce dernier a les moyens et la volonté de respecter les normes de protection des données. Les résultats de l’évaluation doivent être documentés avant tout engagement de l’entreprise et avant tout partage de données à caractère personnel.

De la même manière, les responsables du traitement doivent mener des audits de manière régulière pour affirmer la confiance continue envers le fournisseur. Ces résultats doivent également être documentés, tout comme les rapports d’évaluation du risque, afin de confirmer qu’un responsable du traitement a fait preuve de diligence raisonnable pour préserver la confidentialité des données à caractère personnel.

Télécharger A 16 Step Data Governance Plan for GDPR Compliance maintenant
En savoir plus

Étapes suivantes pour établir des accords de partage des données

Les accords de partage des données sont des documents juridiques complexes. Ces accords peuvent cependant éviter des situations compliquées en cas de violation, et contribuent également à protéger les données à caractère personnel, ce qui est l’objectif principal du RGPD. Talend Metadata Manager permet de capturer ces accords de partage des données de manière sémantique, mais aussi de suivre et retracer la localisation et le mouvement de données physiques dans un paysage de données.

L’étape suivante du plan global en 16 étapes de Talend consiste à assurer la conformité aux contrôles du RGPD.

Pour en savoir plus à ce sujet et voir l’ensemble des 16 étapes, ne manquez pas notre webinaire à la demande, Étapes pratiques de la conformité au RGPD. Cette vidéo comprend des informations sur le développement de normes et contrôles, l’identification des propriétaires de données, l’identification d’éléments de données critiques, la mise en œuvre d’évaluations du risque, l’amélioration de la qualité des données et bien d’autres sujets encore.