Bien choisir son sous-traitant, la clé pour optimiser votre conformité RGPD
Bien choisir son sous-traitant est indispensable pour optimiser votre conformité RGPD. Car vous êtes responsable de tout ou presque, y compris de la manière dont vos prestataires exploitent vos bases. Le parti-pris de ZEROSIX est de faire de ce sujet de la protection des données personnelles un atout confiance pour vous comme pour vos clients finaux. On vous en parle dans cet article.
Pourquoi bien choisir ses sous-traitants est essentiel pour préserver votre conformité RGPD ?
Vous avez sans doute recours à un certain nombre de sous-traitants. Sous-traitants ? Il s’agit en particulier de ceux appelés à manipuler les données personnelles de vos clients et prospects :
• des fournisseurs de solutions informatiques (CRM, hébergement de sites, outil d’emailing…) ;
• des prestataires de services ;
• des consultants...
Bien sûr, vous les choisissez pour leur capacité à vous proposer des produits ou des services adaptés à vos besoins et aux spécificités de votre activité. Mais vous comptez aussi sur leur expertise réglementaire. Vous attendez d’eux qu’ils mènent une veille et fassent évoluer en conséquence leurs offres.
Or, sachez-le, la responsabilité liée aux données personnelles ne se délègue jamais. Il en va de même naturellement pour les programmes de fidélité.
Au final, c’est bien vous qui opérez des traitements de données pour gérer votre activité de prospection ou votre relation clients. Ils se contentent de vous fournir des moyens et n’exploitent la donnée que pour vos besoins.
Votre organisme est ce qu’on appelle le responsable du traitement des données à caractère personnel.
A ce titre, vous êtes responsable de tout manquement inhérent :
• à la manipulation de données en interne, par l’un de vos services ;
• à la manipulation des données par vos sous-traitants. Eh oui...
Par exemple, le fournisseur de votre solution de CRM (Customer Relationship Management) se fait hacker ? Vous devrez notifier cette violation de données auprès de la CNIL alors même qu’elle ne concerne pas vos propres infrastructures techniques.
D’où l’importance de bien choisir son sous-traitant.
Les 6 mesures must-have pour bien piloter la conformité RGPD de vos sous-traitants
Concrètement, lorsque vous signez avec un sous-traitant, vous devrez effectivement prendre un certain nombre de mesures :
• Ne pas s’arrêter aux propos d’un commercial. Tous les sous-traitants qui vous démarchent vous assureront respecter la réglementation. Et bien sûr, ce n’est pas toujours le cas. Sachez lire le contrat, poser des questions et vérifier le niveau de votre prestataire.
• Signer un contrat comprenant une clause de protection des données. C’est une obligation assez formelle. Heureusement, dans son guide sur les sous-traitants, la CNIL fournit un template de clause sur lequel vous pourrez vous appuyer.
• Vous assurer que votre sous-traitant documente sa conformité RGPD. Registre des traitements de données, politique de sécurité… Lui-même est tenu de décrire les mesures de protection et de sécurité qu’il met en place.
• Vous assurer que le sous-traitant ne traite les données que pour votre compte et selon les instructions que vous lui fournissez. Il s’agit en particulier d’éviter que cette société ne revende les données de vos clients, même sous une forme anonymisée.
• Prévoir ce qui se passe au terme du contrat. Une fois la prestation de services achevée, le sous-traitant doit vous restituer les données traitées et supprimer les copies qu’il détient. Il pourra toujours les archiver, notamment pour répondre à des besoins très pointus, des obligations légales par exemple. Mais il ne doit pas pouvoir continuer d’utiliser les données une fois le contrat terminé.
• Anticiper la prise en compte des demandes d’exercice de droits RGPD. Par exemple, vous devez pouvoir répondre à un droit d’accès et communiquer toutes les données disponibles sur un client. Ou les supprimer sur demande.
• Prévoir un process de signalement des violations de données. Malheureusement, le nombre de notifications à la CNIL de violations de données augmente désormais. En cas par exemple d’intrusion dans la base de données clientes ou de mise en ligne par erreur de vos données, vous aurez 72h pour notifier cet incident à la CNIL. Mieux vaut que votre sous-traitant vous contacte à la bonne adresse.
Comment faire du choix du sous-traitant un atout pour votre conformité RGPD ?
Si externaliser le traitement des données personnelles est une source de risque, vous pouvez aussi en faire une vraie opportunité.
Comment ?
En choisissant un sous-traitant ayant une vraie vision en matière de protection des données. Des sociétés comme ZEROSIX font aujourd’hui de ce sujet une carte maîtresse pour se différencier de la concurrence.
Il s’agit bien sûr de proposer un outil performant pour la création et la gestion de vos programmes de fidélité. Cette activité repose en outre sur des engagements forts et une politique poussée de protection et de sécurité de vos données. Plus encore, la protection des données est pour vous un argument phare à mettre en valeur pour gagner la confiance de vos clients. Pour cette raison, une société telle que ZEROSIX enrichit son offre avec :
• Du matériel de sensibilisation. Fiches pratiques, conseils… tout est fait pour vous aider à comprendre quelles sont vos obligations et comment y répondre ;
• des fonctionnalités additionnelles qui vous permettent de gérer vos bases en toute conformité. Purge automatique des contacts inactifs, centralisation des bases pour ne jamais démarcher un client qui s’y est opposé, exports des données pour répondre à des demandes de droits d’accès...
Vous resterez le maître et le responsable du traitement des données de vos clients. Mais vous êtes épaulé par un partenaire de confiance qui vous donne les moyens de vos ambitions. Et d’accorder le même niveau de protection des données numériques de vos clients que celui que vous appliquez déjà dans votre commerce local.
Conclusion : Choisissez avec soin vos sous-traitants
La création d’un programme de fidélité est un atout clé pour le développement de votre commerce. Il est important de bien choisir le programme de fidélité adapté à votre business.
Il est néanmoins important pour vous de gérer votre risque en matière de traitement de données personnelles. Et de ce point de vue, la protection des données doit absolument être un des critères de choix de votre solution.
Pour cela, vous vous appuierez plus volontiers sur des acteurs ayant un discours volontariste en la matière... et qui joignent la parole aux actes. Chez ZEROSIX, c’est l’un des atouts phare de la stratégie.