Courrier vérifiant la conformité RGPD de vos sous-traitants et fournisseurs
Courrier vérifiant la conformité RGPD de vos sous-traitants et fournisseurs

Courrier vérifiant la conformité RGPD de vos sous-traitants et fournisseurs

Sous Traitants

Courrier RGPD pour vos sous-traitants & fournisseurs

 
Vous devez appliquer la RGPD depuis le 25 mai 2018 dès lors que vous traitez des données personnelles.
Ceci vous concerne directement, mais cela concerne également tous les tiers avec lesquels vous êtes engagés, dont vos sous-traitants et fournisseurs à qui vous transmettez des données personnelles (art. 28.1).
La responsabilité des sous-traitants peut être engagée en cas de manquement aux obligations légales (on se rapportera au guide du sous-traitant RGPD pour plus de détails).
Un sous-traitant peut aussi bien être une société privée ou publique qu’un organisme public ou une association.
 
Cependant, si un sous-traitant :
  • a peu d’autonomie dans la réalisation de ce qui vous lui demandez,
  • n’a pas de contrôle suffisant sur l’exécution de ce que vous lui demandez,
  • n’a pas une expertise suffisante sur l’exécution de ce que vous lui demandez,
  • ou si l’identité de l’exécuteur de ce que vous demandez n’est pas très claire,

alors les responsabilités entre les tiers pourraient être ré-examinées en cas de problème (mieux vaut donc clarifier la situation a priori).

Pour traiter au mieux le problème de la conformité RGPD de vos tiers, nous vous proposons l’outil suivant qui génère un courrier type.





    Copie :

    à

    le


     
    Comme vous le savez sans doute, depuis le 25 mai 2018 les entreprises, associations et collectivités doivent respecter le Règlement Général sur la Protection des Données à caractère personnel (RGPD).
    Nous sommes nous-même engagés dans un processus interne de conformité RGPD et dans ce cadre nous avons relevé que les traitements que vous aviez à mener avec nous incluaient très probablement des traitements sur des données personnelles nous impactant.
    Au titre de l’article 28.1, l’objet de ce courrier est en conséquence d’établir que vous fournissez des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives
    aux traitements à effectuer et veillez au respect de ces mesures. En particulier :

    1. si vous avez nommé un délégué à la protection des données (DPD / DPO – merci de nous indiquer comment le contacter)

    2. que vous savez identifier et localiser les données à caractères personnelles que vous traitez dans le cadre de nos relations (registre des traitements)

    3. que vous êtes en mesure de nous communiquer vos fiches des traitements que vous gérez pour notre compte

    4. que vous appliquez les principes de privacy by design RGPD

    5. que vous appliquez les principes de privacy by default RGPD

    6. que vous êtes en mesure d’encadrer des transferts éventuels de données hors UE

    7. que vous avez mis en place tous les éléments nécessaires au respect de l’exercice des droits de la RGPD (consultation, modification, extraction, effacement / anonymisation, limitation)

    8. qu’en cas de perte ou de vol de données, vos procédures RGPD de sinistre sont définies et documentées

    9. que vous nous avez communiqué toute information que vous jugez nécessaire et qui pourraient nous aider à garantir notre conformité RGPD

    10. que vous avez mis-à-jour la clause contractuelle liée à la protection des données personnelles

    11. si vous procédez à la sensibilisation et à la formation au risque pour vos collaborateurs

    12. si vous procédez à des audits réguliers de conformité RGPD

    13. si vous êtes assuré contre le cyber-risque

    NB : il est rappelé que les obligations en matière de sécurité et de confidentialité concernant les données confiées au sous-traitant ou du fournisseur lui incombent.

    Merci donc de nous transmettre par écrit les réponses à ces différents points. Nous nous tenons à votre disposition pour échanger sur la nécessité de revoir les clauses RGPD dans les contrats nous liant.
    Veuillez agréer l’expression de nos sentiments les meilleurs,



    À l'exception de votre adresse mail mail et du nom de votre entreprise pour conserver votre acception d'utilisation, aucune données ne sera conservée par notre société. En validant ce formulaire, vous acceptez les conditions générales d'utilisation des services de ce site.
    captcha
     

    Consulter les conditions d’utilisation des services du site rgpd-brest.fr