MIS Group
Retour Retour
Questions RGPD : Comment contrôler la conformité RGPD de mes Sous-traitants et Logiciels d'enquêtes ?

Questions RGPD : Comment contrôler la conformité RGPD de mes Sous-traitants et Logiciels d'enquêtes ?

15 mins 15 mins
|
Par Michaël Saulnier - le 25/02/2025

Le Règlement Général sur la Protection des Données (« RGPD », ou « General Data Protection Regulation » / « GDPR » en anglais) définit des rôles pour chaque acteur intervenant sur un traitement de données personnelles. Les Enquêtes en ligne n’échappent bien sûr pas à cette règle.

Pour chaque enquête, il y a donc nécessairement :

  • Un (voire plusieurs) Responsable(s) de traitement
  • Un ou plusieurs Sous-traitant(s)
  • Un ou plusieurs Sous-traitant(s) ultérieur(s)


1. Quels sont les rôles de chaque acteur impliqué dans mon enquête ?


1.1. Quel est le rôle du Responsable de traitement ?

Le Responsable de traitement représente le donneur d’ordre dans le cadre d’une enquête.

Il s’agit plus précisément, au sens du RGPD, de l’organisation - ou de la personne physique dans les cas où l’enquête est réalisée pour le compte d’un particulier (créateur d’entreprise, étudiant, etc.) – qui détermine les finalités et les moyens mis en œuvre pour la réalisation de l’enquête. En d’autres termes, le Responsable de traitement est celui qui prend les décisions (c’est donc, sauf exceptions, le « commanditaire » de l’enquête qui endosse ce rôle).

A noter que pour les enquêtes menées dans le cadre d’une recherche scientifique, en principe - en dehors du cas où le chercheur agit exclusivement pour son propre compte – c’est l’organisme auquel il est rattaché (la personne morale) qui endossera le rôle du Responsable de traitement. Il peut s’agir de son établissement public ou privé (université, école de commerce, etc.), d’un institut / laboratoire de recherche, etc.

Remarques :

La CNIL (l’autorité de contrôle en France) a publié sur son site Internet un article au sujet de la recherche scientifique et du RGPD :
Voir les questions-réponses de la CNIL pour la recherche scientifique



1.2. Quel est le rôle des Sous-traitants ?

Un Sous-traitant est un prestataire de service qui va être mandaté par le Responsable de traitement pour intervenir sur tout ou partie de l’enquête (programmation du questionnaire en ligne, collecte des réponses, stockage des réponses, analyse des résultats, mise en place d’une campagne e-mailing, etc.).

Au sens du RGPD, si vous intervenez sur une enquête en tant que prestataire de service, vous endossez le rôle de Sous-traitant dès l’instant que vous traitez des données personnelles pour le compte, sur instruction et sous l'autorité du Responsable de traitement (commanditaire de l’enquête).

Il peut bien entendu y avoir plusieurs Sous-traitants qui interviennent sur une même enquête.

Tout acteur intervenant sur le traitement de données personnelles dans le cadre d’une enquête, autre que le Responsable de traitement, est considéré comme Sous-traitant.

Et la notion de traitement de données personnelles, au regard du RGPD, est très large. Il ne s’agit pas uniquement des opérations de collectes et de manipulations des données. La simple consultation des données, ou encore leur simple enregistrement/conservation, sont également des opérations de traitement. 

Ainsi, si vous utilisez un logiciel SaaS (Google Forms, SurveyMonkey, LimeSurvey, Qualtrics, e-Survey®, etc.) pour programmer et héberger votre questionnaire en ligne, l’éditeur du logiciel sera considéré comme un Sous-traitant.

De même, au moment de la diffusion de votre questionnaire, si vous utilisez un autre logiciel SaaS (Salesforce, Mailchimp, Sarbacane, Brevo, etc.) pour envoyer un e-mailing d’invitation à vos contacts afin qu’ils viennent y répondre (et sur lequel vous partagerez donc nécessairement la liste des adresses e-mails de vos contacts), celui-ci sera lui aussi considéré comme un Sous-traitant.

Remarques :

Retrouvez notre article complet sur les campagnes e-mailing et le RGPD :
Puis-je envoyer une enquête par e-mailing à mes contacts, sans leur Consentement ?

Ou encore, si vous avez recours à un panel de consommateurs externe afin de recruter des répondants pour un sondage d’opinion ou une étude de marché, tel que le Panel de consommateurs de MIS Group, le fournisseur de panel concerné (qui traitera nécessairement les données de ses panélistes pour le compte de votre enquête) sera également considéré comme un Sous-traitant.

Enfin, ne pas oublier non plus que si vous stockez les fichiers de réponses ou autres jeux de données sur un serveur informatique distant (ex : serveur OVH), alors l’hébergeur (ex : la société OVH) sera là encore considéré comme un Sous-traitant.

Seuls les prestataires qui seraient amenés à traiter des données totalement anonymes, et n’ayant donc aucun moyen d’accéder à des informations permettant de retrouver l’identité de certains répondants (aucun identifiant ou autre présent dans les fichiers consultés), ne seront pas considérés comme des Sous-traitants au sens du RGPD.

Par exemple, un freelance ayant pour seule mission de traduire dans une autre langue le questionnaire ou une présentation agrégée des résultats, et n’ayant donc aucun accès aux réponses individuelles de l’enquête ou à d’autres données potentiellement personnelles, n’endossera pas un rôle de Sous-traitant.


1.3.  Quel est le rôle des Sous-traitants ultérieurs ?

Des Sous-traitants peuvent eux-mêmes faire appel à d’autres Sous-traitants (sous condition qu’ils aient obtenu l’accord préalable du Responsable de traitement). Par exemple, un Sous-traitant mandaté pour analyser les résultats d’une enquête peut faire appel à un freelance pour l’aider dans une partie de l’analyse. On nommera alors ce dernier « Sous-traitant ultérieur ».

Exemple de sous-traitance en chaine dans le cadre d'une enquête en ligne
Schéma présentant un exemple de sous-traitance en chaîne, avec des sous-traitants de premier rang et des sous-traitants de second rang


1.4.  Et concernant le rôle des Responsables conjoints de traitement ?

Dans certaines situations, il peut y avoir plusieurs acteurs à l’initiative d’une même enquête (plusieurs décisionnaires). On parle alors de « Responsables conjoints de traitement » ou de « Co-Responsables de traitement ».

Prenons un exemple :
Vous confiez à un cabinet de conseil l’élaboration de votre stratégie marketing et d’un plan d’action.
Pour y parvenir, celui-ci décide dans un premier temps de faire un audit marketing et de mesurer la satisfaction de vos clients actuels à travers une enquête de satisfaction.
Dans le cadre de cette enquête, le cabinet de conseil que vous avez missionné ne sera pas un simple Sous-traitant. Il partagera la Responsabilité de traitement avec vous. Vous serez donc Responsables conjoints du traitement.


1.5. Quelles sont les responsabilités de chaque acteur impliqué dans l’enquête ?

Quoi qu’il en soit, toutes les parties prenantes dans une enquête - qu’elles soient Responsables de traitement ou Sous-traitants / Sous-traitants ultérieurs – se doivent d’être conformes au RGPD.

Vis-à-vis des autorités de contrôle européennes (la CNIL en France), la personne physique ou morale désignée Responsable de traitement est légalement responsable de la conformité de l’ensemble des opérations de traitement effectuées dans le cadre de l’enquête.

Les Sous-traitants / Sous-traitants ultérieurs ont quant à eux des obligations plus limitées. Toutefois, aux yeux des autorités de contrôle européennes, ils peuvent tout de même être considérés comme « responsables » de certaines des opérations, notamment celles visant à garantir la sécurité des données personnelles qu’ils traitent dans le cadre de l’enquête.

De ce fait, et même si cela reste exceptionnel, les autorités de contrôle compétentes peuvent aussi sanctionner des Sous-traitants, par exemple si elles considèrent que les mesures techniques et organisationnelles de sécurité qu’ils ont mises en place sont insuffisantes.

Le montant des sanctions pécuniaires prononcées par les autorités de contrôle européennes à l’égard du Responsable de traitement ou d’un Sous-traitant peut s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’organisation. Ces sanctions peuvent être rendues publiques.

Remarques :

Pour plus d'informations sur le pouvoir de contrôle et de sanction de la CNIL (l’autorité de contrôle en France), et sur les sanctions récemment prononcées par celle-ci, nous vous invitons à consulter son site Internet :
En savoir + sur la mission de contrôle et de sanction de la CNIL

D’autre part, s’il est sanctionné, le Responsable de traitement peut se retourner contre l’un de ses Sous-traitants s’il juge que ce dernier est coupable d’un manquement. Pour cela, il pourra s’appuyer sur un contrat de sous-traitance de type « Data Processing Agreement » (« DPA », ou « Accord de traitement des données » / « ATD » en français) qu’il aura préalablement conclu avec lui (avant le début de l’enquête).



2. Comment contrôler la conformité de mes Sous-traitants et Sous-traitants ultérieurs ?


2.1. Comment contrôler la conformité des Sous-traitants ?

Le Responsable de traitement étant légalement responsable de la conformité de l’ensemble des opérations de traitement effectuées dans le cadre de l’enquête, il se doit de vérifier – avant même le début de l’enquête – que tous les Sous-traitants auxquels ils souhaitent avoir recours sont bien aux aussi en conformité avec le RGPD.

A partir du moment où, en tant que Responsable de traitement, vous avez recours aux services d’un prestataire (Sous-traitant) qui va être amené à traiter des données personnelles pour votre compte, il est nécessaire d’intégrer dans le contrat de sous-traitance qui va vous lier à lui des clauses sur la protection des données personnelles.

Plus généralement, un accord à part entière est signé entre les deux parties : le « Data Processing Agreement » (« DPA », ou « Accord de traitement des données » / « ATD » en français).

Cet accord / ces clauses vont obliger le Sous-traitant à mettre ses engagements « noir sur blanc » en matière de protection des données personnelles, et à vous apporter des garanties sur les mesures techniques et organisationnelles qu’il a mises en place.

Remarques :

La CNIL (l’autorité de contrôle en France) met à disposition, sur son site Internet, des modèles de clauses sur la protection des données personnelles :
Voir les modèles de clauses de la CNIL

En plus du DPA, nous vous recommandons d’exiger auprès du Sous-traitant qu’il accompagne cet accord de quelques pièces justificatives complémentaires (annexes), tels que des documents détaillant les différentes mesures, pour vous permettre de mieux apprécier si elles sont ou non en adéquation avec les risques liés aux opérations de traitement que vous allez lui confier.
Bien entendu, plus les opérations de traitement seront risquées – parce qu’elles nécessitent par exemple la collecte ou la manipulation de données personnelles à grande échelle, la collecte ou la manipulation de Données sensibles (voir ci-après), etc. - plus les mesures mises en place chez le Sous-traitant devront être fortes.

Concernant les documents complémentaires, il peut s’agir par exemple de documents listant les actions et outils de sensibilisation mis en place par le Sous-traitant auprès de ses collaborateurs, les actions et outils mis en place pour garantir la sécurité de son parc informatique et de ses serveurs, etc. Pour les traitements à risque (impliquant par exemple le traitement de Données sensibles), le Sous-traitant peut notamment joindre au DPA sa charte informatique, ou encore sa PSSI (Politique de sécurité des systèmes d’information).

Chaque organisation est dans l’obligation de documenter sa conformité. Votre Sous-traitant doit donc être en mesure d’accompagner le DPA de ces documents complémentaires.

De surcroît, en tant que Responsable de traitement, vous avez la possibilité de réaliser un audit complet des mesures mises en place chez votre Sous-traitant (ou de mandater un auditeur externe pour le réaliser). Il peut notamment s’agir d’inspecter / tester les mesures purement techniques (ex : cartographier les systèmes d’information du Sous-traitant, analyser ses protocoles de communication / réseaux, analyser l’état et la sécurité de ses serveurs informatiques et postes de travail, etc.), ou encore d’interviewer ses collaborateurs pour mieux évaluer leurs process et usages ainsi que leur sensibilisation à la protection des données personnelles. Les modalités liées à la réalisation de cet audit peuvent être précisées dans le DPA.


2.2. Que faire si le Sous-traitant est amené à traiter des Données sensibles ?

Au sens du RGPD, les Données sensibles sont des catégories de données personnelles qui pourraient - en cas de fuite - porter atteinte de manière significative à la vie privée des personnes concernées.

Dans le cas des questionnaires en ligne, les Données sensibles vont principalement correspondre à des informations portant sur l’état de santé des répondants, leur origine raciale ou ethnique, leurs opinions politiques ou convictions religieuses, leur vie sexuelle ou orientation sexuelle.

Attention : le RGPD ne fait pas de distinction précise par rapport au degré d’impact des données. Il regroupe par exemple dans les Données sensibles tout ce qui touche à la santé, que cela concerne une maladie chronique ou le simple port de lunettes de vue.

En principe, le RGPD interdit toute collecte d’informations sensibles. Sauf dans les cas où les personnes concernées (les répondants) ont donné leur consentement exprès, de manière explicite (ne laissant place à aucune ambiguïté), spécifique et informée.
Si vous et/ou votre Sous-traitant êtes amenés à collecter des Données sensibles à partir d’un questionnaire en ligne, veillez donc à recueillir le consentement de manière valide auprès des répondants, avant de commencer à enregistrer la moindre information.

De plus, il faut également pouvoir justifier la nécessité de chaque Donnée sensible collectée / traitée. Veillez donc à supprimer dans votre questionnaire en ligne les questions concernées si elles ne sont pas indispensables à votre enquête.

Par ailleurs, si un Sous-traitant est amené à collecter ou à manipuler des Données sensibles pour votre compte, il faudra veiller – encore davantage - à ce que toutes les mesures techniques et organisationnelles mises en place par celui-ci soient appropriées.

Pour cela, au-delà du DPA et des documents complémentaires fournis par le Sous-traitant, une analyse d’impact relative à la protection des données (« AIPD », ou « Data Protection Impact Assessment » / « DPIA », ou encore « Privacy Impact Assessment » / « PIA » en anglais) est fortement recommandée voire imposée par le RGPD en cas de traitement de Données sensibles.

L’AIPD est un outil / processus (qui peut s’apparenter à un formulaire détaillé) invitant toutes les parties prenantes à se poser les bonnes questions au sujet des traitements qu’elles auront à opérer, et plus précisément de :

  • évaluer la nécessité de chacun de ces traitements ;
  • évaluer le degré d’impact potentiel de chacun d’entre eux sur la vie privée des répondants (en cas de fuite des données au cours de ces traitements) ;
  • énumérer l’ensemble des mesures techniques et organisationnelles mises en place (chez vous et chez le Sous-traitant) pour garantir la confidentialité et la sécurité des données lors de chacun des traitements, et valider leur adéquation avec les risques potentiels.
Exemples de questions posées dans le cadre d'une analyse d'impact (AIPD)
Schéma présentant des exemples de questions que le Responsable de traitement et ses éventuels Sous-traitants peuvent être amenés à se poser au cours d’une analyse d’impact (AIPD)

C’est au Responsable de traitement qu’il incombe de mener l’analyse d’impact, avant le début des traitements, mais le Sous-traitant est dans l’obligation de l’assister et de lui fournir toutes les informations nécessaires pour compléter les étapes qui le concernent directement (relatives aux traitements sur lesquels il intervient).

Dès l’instant qu’il respecte toutes les étapes définies par le RGPD pour la réalisation d’une analyse d’impact, le Responsable de traitement est libre de choisir le format dans lequel il apportera ses éléments de réponses (pour démontrer la conformité de chacun des traitements et l’adéquation des mesures techniques et organisationnelles mises en place). Il pourra par exemple choisir de rédiger – de façon détaillée - un document Word ou Excel, ou bien d’utiliser un logiciel d’AIPD (outil déroulant clairement chaque étape de l’analyse, et permettant ainsi de n’en oublier aucune).

Remarques :

La CNIL (l’autorité de contrôle en France) met à disposition, sur son site Internet, son propre logiciel d’AIPD / PIA :
Télécharger le logiciel d’AIPD / PIA de la CNIL



2.3. Comment contrôler la conformité des Sous-traitants ultérieurs ?

Parmi les clauses figurant dans le contrat de sous-traitance et/ou le DPA, l’une d’entre elles doit porter sur la Sous-traitance ultérieure.

Les Sous-traitants ultérieurs sont les prestataires auxquels le Sous-traitant initial (avec lequel vous avez conclu le contrat) va lui-même faire appel.
En d’autres termes, il s’agit des prestataires - nécessaires à la réalisation de la mission confiée au Sous-traitant initial - qui vont traiter des données personnelles pour votre compte (consultation, manipulation, collecte, enregistrement/conservation, etc.), mais avec lesquels vous n’êtes pas directement en contact.

Il peut par exemple s’agir de tous les éditeurs de logiciels qu’utilise le Sous-traitant initial (et sur lesquels des données personnelles seront traitées pour votre compte), des hébergeurs des serveurs du Sous-traitant initial (sur lesquels seront stockées les données personnelles), ou encore des agences, consultants ou indépendants / freelances qui interviendraient sur l’enquête.

Chacun des Sous-traitants ultérieurs, quelle que soit la mission qui lui est confiée par le Sous-traitant initial, doit être soumis aux mêmes clauses sur la protection des données personnelles que celles figurant dans le contrat de sous-traitance (conclu entre le Sous-traitant initial et vous).
Il revient donc au Sous-traitant initial de s’assurer que les prestataires auxquels il va recourir pour votre compte respectent bien ces clauses. Et il lui revient donc de faire signer à son tour un contrat de sous-traitance et/ou un DPA à l’ensemble de ces prestataires.
Et il vous reviendra à vous, en tant que Responsable de traitement, de vous assurer que le Sous-traitant initial remplit bien son rôle ici.

Par ailleurs, toujours au sujet de la Sous-traitance ultérieure, le RGPD impose au Sous-traitant initial de faire approuver chacun des prestataires par le Responsable de traitement.
Ainsi, le Sous-traitant initial est tenu de vous lister par écrit l’ensemble des Sous-traitants ultérieurs auxquels il compte recourir (leur nom, leurs coordonnées, ainsi que les missions/activités de traitement qui leur seront confiées), et de recueillir auprès de vous une autorisation écrite et spécifique pour faire appel à chacun d’entre eux.

Toutefois, pour simplifier les démarches et ne pas « bloquer » le Sous-traitant initial dans l’avancement de sa mission, le contrat de sous-traitance peut simplement prévoir un délai d’objection : dans ce cas, le Sous-traitant initial reste tenu de vous communiquer par écrit la liste des prestataires concernés, mais n’attendra pas une autorisation spécifique de votre part en retour (si vous n’émettez pas d’objection dans le délai prévu par le contrat, alors cela vaudra pour validation).


2.4.  Et concernant le contrôle des éditeurs de logiciels (de type SaaS) ?

Pour rappel, si vous utilisez un logiciel SaaS (Google Forms, SurveyMonkey, LimeSurvey, Qualtrics, e-Survey®, etc.) pour programmer et héberger votre questionnaire, l’éditeur du logiciel sera considéré comme un Sous-traitant.

Logo du logiciel d'enquêtes en ligne Google Forms Logo du logiciel d'enquêtes en ligne SurveyMonkey Logo du logiciel d'enquêtes en ligne LimeSurvey Logo du logiciel d'enquêtes en ligne Qualtrics Logo du logiciel d'enquêtes en ligne RGPD e-Survey


Il en va de même si, dans le cadre de l’enquête, vous utilisez également un logiciel SaaS pour programmer une campagne e-mailing (ex : Salesforce, Mailchimp, Sarbacane, Brevo, etc.). afin d’inviter vos contacts à venir répondre au questionnaire en ligne.

Toutefois, il n’est pas toujours évident de contacter les éditeurs de logiciels, ou même les hébergeurs (ex : OVH), pour leur faire signer un contrat de sous-traitance et/ou un DPA.

Heureusement, la plupart des éditeurs de logiciels incluent des clauses sur la protection des données personnelles directement dans leurs conditions générales de vente et d’utilisation (c’est notamment le cas sur notre propre logiciel e-Survey® : Voir les Conditions générales de vente e-Survey®).
Dans ce cas, nous vous recommandons simplement d’enregistrer le(s) document(s) contenant les clauses, et de bien le(s) conserver au moins jusqu’à la fin des traitements.


 Bon à savoir :
Pour la réalisation de vos enquêtes Quanti, en totale conformité avec le RGPD, notre société d’études MIS Group met à votre disposition son Logiciel d’enquêtes Do It Yourself (e-Survey®).
Contacter l'auteur de l'article :
Michaël Saulnier
Michaël Saulnier
Chef de projet digital / RGPD
m.saulnier@misgroup.io
Quanti
Quali
RGPD

Découvrez nos autres articles

L'inclusion dans les études de marché qualitatives
L'inclusion dans les études de marché qualitatives
Quali

Aujourd’hui, les consommateurs attendent des marques qu’elles incarnent la diversité et l’inclusion, non seulement dans leurs publicités, mais aussi dans leur manière de concevoir des produits. Ce besoin d’inclusion ne doit pas être ignoré, surtout dans les études de marché qualitatives, dont l'objectif est de comprendre en profondeur les attent...

En savoir +
3 mins
Les « Questions piège » : comment les utiliser ? 
Les « Questions piège » : comment les utiliser ? 
Quanti

En moyenne, chez Made In Surveys, 20% des réponses aux enquêtes sont supprimées. En effet, il arrive que des participants peu sérieux répondent à nos questionnaires. Nos Chargés d’Études ont pour mission de les identifier, car chez Made In Surveys, la qualité des données collectées est la priorité.

Chaque base de données d’enquête term...

En savoir +
4 mins
Les différentes méthodologies d’enquêtes quantitatives
Les différentes méthodologies d’enquêtes quantitatives
Quanti

Les études quantitatives sont des outils essentiels pour comprendre les comportements, les opinions et les tendances des consommateurs. Elles se caractérisent par la collecte de données analysées statistiquement pour identifier des tendances et des corrélations. Différentes méthodologies d’enquêtes peuvent être utilisées pour réaliser ces études...

En savoir +
5 mins