Externalisation de la gestion du CSE et RGPD : encadrer les prestataires externes
De nombreux CSE font appel a des prestataires externes pour gerer tout ou partie de leurs activites : plateforme de billetterie, cabinet comptable, gestionnaire de paie des salaries du comite, agence de voyages, organisme de formation. Cette externalisation implique necessairement des transferts de donnees personnelles vers des tiers, ce qui souleve des enjeux majeurs de conformite au RGPD. Comment le CSE peut-il externaliser efficacement tout en protegeant les donnees de ses beneficiaires ?
Qualifier les acteurs : sous-traitant ou responsable conjoint ?
La premiere etape consiste a determiner le role de chaque prestataire au regard du RGPD. Un prestataire qui traite des donnees personnelles pour le compte et sur instruction du CSE est un sous-traitant (article 28 du RGPD). C’est le cas d’une plateforme de billetterie qui gere les commandes des beneficiaires, d’un cabinet comptable qui traite les pieces justificatives, ou d’un hebergeur de site web. En revanche, un prestataire qui determine ses propres finalites de traitement est un responsable de traitement distinct. Un organisme assureur qui gere un contrat de prevoyance peut etre qualifie de responsable conjoint avec le CSE. Cette qualification conditionne les obligations contractuelles et les responsabilites de chaque partie.
Le contrat de sous-traitance : une obligation legale
L’article 28 du RGPD impose la conclusion d’un contrat ecrit entre le responsable de traitement et son sous-traitant. Ce contrat doit comporter des clauses obligatoires : l’objet et la duree du traitement, la nature et la finalite du traitement, le type de donnees personnelles traitees, les categories de personnes concernees, les obligations et droits du responsable de traitement. Le sous-traitant doit s’engager a ne traiter les donnees que sur instruction documentee du CSE, a assurer la confidentialite, a mettre en oeuvre les mesures de securite appropriees, a ne pas faire appel a un autre sous-traitant sans autorisation, a cooperer pour repondre aux demandes d’exercice de droits et a supprimer ou restituer les donnees en fin de contrat.
Audit et selection des prestataires
Le RGPD impose au responsable de traitement de ne faire appel qu’a des sous-traitants presentant des garanties suffisantes. Avant de choisir un prestataire, le CSE doit evaluer sa politique de protection des donnees, ses mesures de securite techniques et organisationnelles, sa localisation et celle de ses serveurs (risque de transfert hors UE), ses certifications eventuelles (ISO 27001, HDS pour les donnees de sante), sa capacite a cooperer en cas de controle de la CNIL et ses references aupres d’autres CSE.
Transferts de donnees hors Union europeenne
Certaines plateformes utilisees par les CSE (billetterie en ligne, outils de communication, stockage cloud) peuvent heberger les donnees en dehors de l’Union europeenne. Ces transferts sont soumis a des garanties specifiques prevues par le RGPD : decision d’adequation de la Commission europeenne, clauses contractuelles types, ou regles d’entreprise contraignantes. Depuis l’arret Schrems II, les transferts vers les Etats-Unis necessitent des mesures supplementaires, meme si le Data Privacy Framework a retabli un cadre pour les entreprises certifiees. Le CSE doit verifier la localisation des donnees aupres de chaque prestataire et, si necessaire, exiger un hebergement europeen.
Gestion des incidents et violations de donnees
Le contrat de sous-traitance doit prevoir une procedure de notification des violations. Le sous-traitant doit informer le CSE dans les meilleurs delais (idealement sous 24 heures) en cas de violation de donnees. Le CSE, en tant que responsable de traitement, doit ensuite evaluer le risque et, si necessaire, notifier la CNIL dans les 72 heures et informer les personnes concernees. Une procedure claire, testee periodiquement, permet de reagir rapidement et de limiter les consequences d’un incident.
Fin de contrat et sort des donnees
Lorsque la relation contractuelle prend fin, le prestataire doit restituer l’integralite des donnees au CSE dans un format exploitable, puis supprimer definitivement toutes les copies en sa possession. Un certificat de destruction peut etre demande. Le CSE doit anticiper cette phase en verifiant, avant la signature du contrat, les modalites de restitution et de migration des donnees vers un nouveau prestataire. L’absence de clause de reversibilite constitue un risque majeur de dependance et de perte de donnees.
Checklist de conformite pour l’externalisation
Pour chaque prestataire externe, le CSE doit verifier les points suivants : qualification du role RGPD (sous-traitant, responsable conjoint, responsable distinct), existence d’un contrat ecrit conforme a l’article 28, verification de la localisation des donnees, evaluation des mesures de securite, procedure de notification des violations, clauses de confidentialite pour le personnel du prestataire, modalites de restitution et suppression en fin de contrat, et inscription du traitement dans le registre des activites du CSE.
Laurent de Cavel, DPO certifie
