Quand la gestion des sous-traitants s'applique et quoi faire ensuite

La gestion des sous-traitants s'applique lorsqu'une autre organisation traite des donnees personnelles pour votre entreprise SaaS, ou lorsque votre entreprise traite des donnees clients comme sous-traitant et s'appuie sur un autre tiers. La question pratique n'est pas seulement de savoir si un vendor existe. Il faut savoir si des donnees personnelles sont traitees sur instructions et si la relation est controlee.

Dans les equipes SaaS, la reponse est souvent oui. Hosting, support, CRM, product analytics, billing, identity, observability, messaging client, security monitoring, outils AI, data warehouses et support externalise peuvent creer des relations de sous-traitant ou de sous-traitant ulterieur.

L'article 28 du RGPD exige qu'un responsable n'utilise que des sous-traitants presentant des garanties suffisantes pour des mesures techniques et organisationnelles appropriees. Le traitement doit etre encadre par un contrat ou un acte juridique contraignant decrivant l'objet, la duree, la finalite, les types de donnees, les categories de personnes et les droits et obligations du responsable.

Dans la pratique, cela couvre les instructions documentees, la confidentialite, la securite, les conditions de sous-traitance ulterieure, l'assistance pour les droits des personnes, la suppression ou restitution en fin de service et les informations necessaires pour demontrer la conformite.

Quand cela s'applique clairement

Cela s'applique clairement lorsqu'un tiers traite des donnees personnelles pour une finalite produit ou business definie, sous vos instructions.

Exemples SaaS courants: infrastructure cloud, helpdesk, chat, appels, email transactionnel, product analytics, session replay, billing, paiements, plateformes identity, logs, sauvegardes, incident response, CRM, marketing automation, outils AI de resume ou recherche, et services externalises de support ou operations.

Une meme entreprise peut avoir plusieurs roles. Un SaaS peut etre sous-traitant pour les donnees de workspace client, responsable pour web analytics et donnees employees, et responsable lorsqu'il examine ses propres vendors. La realite du traitement compte donc plus que l'etiquette contractuelle.

Quand la reponse est moins evidente

Les cas limites concernent souvent l'acces limite, les features optionnelles, les outils internes ou les vendors qui affirment ne jamais stocker de donnees client. Ne sautez pas la revue parce qu'il s'agit de "simples metadonnees". Des donnees personnelles peuvent apparaitre dans logs, pieces jointes support, identifiants, notes de compte, telemetrie, prompts, exports et dashboards admin.

Les lignes directrices de l'EDPB sont utiles car elles se concentrent sur qui determine les finalites et les moyens essentiels. Si le vendor utilise les donnees pour ameliorer son propre produit, faire de la publicite, du benchmarking ou entrainer des modeles, la relation peut ne pas etre une simple sous-traitance.

Que faire en premier

Commencez par un inventaire rapide des relations qui touchent les donnees personnelles. Pour chacune, capturez le nom legal du vendor, le produit, le business owner, le technical owner, le workflow, l'analyse du role, les categories de donnees, les personnes concernees, l'acces systeme, le DPA, les sous-traitants ulterieurs, les preuves securite, l'emplacement des donnees, les transferts, la retention, la suppression, la disclosure client et la prochaine revue.

Ce registre n'a pas besoin d'etre parfait le premier jour. Il doit etre assez utile pour que legal, securite, produit, procurement, customer success et audit owners repondent avec les memes faits.

L'integrer au workflow operationnel

La gestion des sous-traitants echoue quand la revue commence apres la mise en production. Le trigger doit se trouver dans procurement, product launch, security review et vendor onboarding.

Un intake pratique demande quelles donnees personnelles le vendor recoit ou consulte, quels clients ou utilisateurs sont affectes, s'il existe des sous-traitants ulterieurs, ou les donnees sont hebergees ou accessibles, si le vendor utilise les donnees pour ses propres finalites, et quelles preuves existent sur DPA, securite, transferts et suppression.

La securite examine les mesures techniques et organisationnelles. Privacy ou legal examine role, DPA, instructions, sous-traitants et transferts. Procurement gere contrat et renewal. Product ou engineering possede les contraintes de configuration. Compliance verifie que les preuves seront retrouvables.

Gerer les sous-traitants ulterieurs avant les questions clients

Les sous-traitants ulterieurs comptent deux fois: vos vendors peuvent en utiliser, et vos clients attendent souvent une liste claire, une notification de changement et un droit d'opposition conforme au DPA.

L'article 28 exige une autorisation ecrite prealable, specifique ou generale. En pratique, vous avez besoin d'une page ou schedule stable, d'un workflow d'approbation et d'une preuve de la revue avant ajout.

Des preuves qui tiennent en revue

Les preuves utiles incluent DPA ou terms en ligne, analyse du role, questionnaire securite, documentation securite, liste des sous-traitants, garantie de transfert, ticket d'approbation, decision de risque residuel, settings de retention, procedure de suppression et disclosure client.

Ce travail soutient la planification GDPR, data protection by design and default, data minimisation et le fait que GDPR n'est pas seulement des cookie banners.

Exemple pratique

Une entreprise SaaS veut ajouter un outil AI qui resume les tickets support. L'outil peut recevoir noms, emails, account IDs, contenu de tickets, pieces jointes et metadonnees. L'equipe determine d'abord si le vendor agit comme sous-traitant ou utilise le contenu pour ses propres finalites. Elle examine ensuite DPA, instructions, securite, sous-traitants, hosting, transferts, retention, controles d'entrainement et engagements clients.

Si l'outil est approuve, le registre documente workflow, categories de donnees, owner, terms, transfert, configuration, statut des sous-traitants, emplacement des preuves et date de revue.

FAQ

Que doivent comprendre les equipes?

La gestion s'applique lorsque des tiers traitent des donnees personnelles pour l'entreprise ou sous sa propre position de sous-traitant. Elle doit produire owners, triggers, preuves contractuelles, preuves securite, controles des sous-traitants et records auditables.

Pourquoi est-ce important en pratique?

Les equipes SaaS dependent de tiers pour exploiter le produit et l'entreprise. Sans controle, DPA, notices de confidentialite, questionnaires securite et reponses d'audit peuvent s'eloigner de la realite.

Que documenter d'abord?

Commencez par les relations qui affectent donnees clients, security reviews, transferts, sous-traitants, AI ou disclosures clients. Attribuez owner, confirmez le role et collectez preuves DPA et securite.

Sources

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR.
• Information Commissioner's Office, Contracts and liabilities between controllers and processors.
• European Commission, Standard contractual clauses for controllers and processors in the EU/EEA.