Gestion des sous-traitants: guide pratique pour les equipes SaaS

La gestion des sous-traitants est le systeme qui permet de controler qui traite des donnees personnelles pour votre compte, ce que ce fournisseur peut faire, quelles clauses s'appliquent, quelles preuves de securite et de protection des donnees existent et comment les changements sont approuves. Pour une equipe SaaS, cela couvre l'hebergement, l'analytique, le support, les paiements, le CRM, l'email, les services d'IA, la supervision d'infrastructure et les sous-traitants ulterieurs.

Le but n'est pas de conserver une liste statique pour la periode d'audit. Le but est de rendre la decision repetable: choisir un fournisseur, confirmer le role, verifier les clauses de protection des donnees, approuver les sous-traitants ulterieurs, evaluer la securite, documenter les garanties de transfert si necessaire et maintenir les preuves a jour.

Au titre de l'article 28 du RGPD, un responsable du traitement doit utiliser uniquement des sous-traitants presentant des garanties suffisantes de mesures techniques et organisationnelles appropriees. Le traitement doit etre encadre par un contrat ou un autre acte juridique contraignant. Le sous-traitant agit normalement sur instructions documentees, applique la confidentialite, aide sur la securite et les droits des personnes, gere la suppression ou la restitution en fin de service et fournit les informations necessaires pour demontrer la conformite.

Pourquoi cela compte

Les entreprises SaaS traitent rarement les donnees seules. Meme un produit simple depend de l'infrastructure cloud, de l'identite, de l'observabilite, du support, de la facturation, de l'analytique produit, du marketing automation, du data warehouse, des outils d'incident et de collaboration. Chaque relation peut toucher les engagements clients, les notices de confidentialite, les DPA, les questionnaires securite, la conservation, les transferts et les preuves d'audit.

Sans processus, les problemes apparaissent tard. Les ventes demandent si un fournisseur est approuve comme sous-traitant ulterieur. L'ingenierie a deja connecte un service de logs. Le support veut exporter des tickets vers un outil de resume IA. Le juridique doit ensuite verifier si contrat, notice, DPA, transfert et engagements clients correspondent encore a la realite.

Quand cela s'applique

La gestion s'applique lorsqu'une autre partie traite des donnees personnelles pour votre organisation et selon vos instructions. Elle s'applique aussi lorsque votre SaaS agit comme sous-traitant pour les donnees clients et utilise un autre sous-traitant en dessous.

Le role depend de la relation reelle, pas seulement du libelle contractuel. Les lignes directrices de l'EDPB expliquent que l'analyse porte sur la personne qui determine les finalites et les moyens essentiels du traitement. Si le fournisseur utilise les donnees pour ses propres finalites, il peut s'agir d'une responsabilite distincte plutot que d'une sous-traitance pure.

Les relations courantes incluent l'infrastructure cloud, les plateformes de support, l'email transactionnel, l'analytique, la supervision, la securite managee et les outils de paiement. Certains fournisseurs ne traitent pas de donnees personnelles; d'autres sont responsables independants. Le flux doit donc rester connecte a la gestion globale des risques fournisseurs.

Traduire l'article 28 en processus

L'article 28 devient une checklist operationnelle. Le responsable doit pouvoir expliquer pourquoi le fournisseur presente des garanties suffisantes. La revue doit couvrir les mesures de securite, les clauses de protection des donnees, les sous-traitants ulterieurs, les lieux de traitement, les garanties de transfert, l'aide en cas d'incident, les informations d'audit, la suppression et la restitution.

Le contrat doit identifier l'objet et la duree du traitement, sa nature et sa finalite, les types de donnees personnelles, les categories de personnes concernees, ainsi que les obligations et droits du responsable. Les clauses contractuelles types de la Commission europeenne pour responsables et sous-traitants peuvent servir de reference structuree.

Pour le sous-traitant, les obligations sont actives: suivre les instructions documentees, garantir la confidentialite, appliquer une securite appropriee, respecter les conditions relatives aux sous-traitants ulterieurs, assister le responsable et mettre les informations de conformite a disposition.

Construire un registre utilisable

Le registre doit montrer la realite operationnelle. Pour chaque sous-traitant, documentez le nom legal, le produit, le responsable interne, la finalite, l'analyse de role, les categories de donnees et de personnes, les systemes connectes, la region d'hebergement, le mecanisme de transfert, le statut du DPA, les sous-traitants ulterieurs, la revue securite, la conservation, la suppression, les disclosures clients, la derniere revue et le prochain declencheur.

Ce registre aide les ventes, la securite, le juridique, le produit, les achats et l'audit. Il evite aussi les revues en double lorsque le meme fournisseur apparait dans le support, l'analytique et le customer success.

Placer la revue avant la mise en production

La gestion echoue si la revue arrive apres le passage en production. Elle doit demarrer avant le partage de donnees personnelles, l'activation d'une integration, la migration de donnees clients ou le support productif par le fournisseur.

Un formulaire leger suffit souvent s'il demande le flux concerne, les donnees traitees, les groupes affectes, les sous-traitants ulterieurs, les lieux de traitement, les finalites propres du fournisseur, les contrats disponibles et les options si le fournisseur est refuse ou approuve sous conditions.

La securite examine les mesures techniques et organisationnelles. Le juridique ou la privacy examine le role, le DPA, les instructions, les transferts et les sous-traitants ulterieurs. Les achats gerent le contrat. Produit ou ingenierie applique les contraintes. La conformite conserve les preuves.

Preuves et erreurs courantes

Un dossier solide contient le DPA ou les clauses applicables, l'analyse de role, la revue securite, les documents fournisseur, la liste des sous-traitants ulterieurs, la preuve de transfert, le ticket d'approbation, la decision de risque residuel, la date de renouvellement et les disclosures clients. Il doit aussi montrer le controle des changements.

Les erreurs courantes sont de traiter le sujet comme un simple contrat, de supposer que tout fournisseur est sous-traitant, de ne jamais revoir les decisions, de separer la liste publique des sous-traitants du processus interne et de ne pas definir l'escalade en cas de DPA manquant, de probleme de transfert ou d'utilisation des donnees par le fournisseur pour ses propres finalites.

FAQ

Que doivent comprendre les equipes?

Que la gestion des sous-traitants est un processus vivant reliant selection fournisseur, DPA, securite, sous-traitants ulterieurs, transferts, changements produit, disclosures clients et preuves d'audit.

Pourquoi est-ce important?

Parce que les SaaS dependent de tiers. Sans revue ni documentation, les engagements clients, notices, DPAs et reponses d'audit peuvent s'eloigner de la realite.

Quelle est la plus grande erreur?

La plus grande erreur est d'en faire une interpretation juridique ponctuelle au lieu d'un processus repetable avec responsables, declencheurs, preuves et escalade.

Sources

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR.
• Information Commissioner's Office, Contracts and liabilities between controllers and processors.
• European Commission, Standard contractual clauses for controllers and processors in the EU/EEA.