Dans la leçon précédente, on a cartographié les outils et les flux. Beaucoup de ces outils et flux passent par des partenaires externes : éditeurs de logiciels infonuagiques, firmes de paie, agences spécialisées, consultants, fournisseurs d'infrastructure. Cette leçon précise comment encadrer ces relations pour respecter les articles 10, 18.3 et 20.
L'enjeu est central pour une PME : la majorité des risques liés aux renseignements personnels passent aujourd'hui par des partenaires externes. Une entreprise bien protégée en interne mais faible dans le choix et l'encadrement de ses fournisseurs reste exposée.
Le cadre légal en bref
Le plan Comptabilité a déjà couvert l'article 18.3 sous l'angle d'une firme comptable mandataire (comp-06). Du côté des opérations, le même article s'applique mais sous l'angle inverse : c'est votre entreprise qui confie des données à un fournisseur, et qui doit s'assurer du cadre.
Trois articles orientent ce qui suit.
L'article 18.3 prévoit qu'une communication à un mandataire ou à un prestataire de services peut se faire sans consentement, à condition qu'un contrat écrit prévoie les protections requises.
L'article 10 étend l'obligation de mesures de sécurité raisonnables aux renseignements traités par les sous-traitants : la responsabilité reste de votre côté.
L'article 20 rappelle que le...