Logo Offshore Tunisie
Offshore Tunisie
Retour au blog
Conformité

RGPD et outsourcing : ce qu'il faut savoir

20 décembre 2024
6 min de lecture

Introduction

Le RGPD (Règlement Général sur la Protection des Données) s'applique même lorsque vous externalisez en Tunisie. Ce guide pratique vous explique comment rester conforme.

Le RGPD s'applique-t-il en Tunisie ?

Principe de territorialité

Le RGPD s'applique dès que vous traitez des données de citoyens européens, quel que soit le lieu de traitement.

Donc oui, si vos collaborateurs en Tunisie traitent des données de clients/utilisateurs européens, le RGPD s'applique.

La Tunisie est-elle un pays adéquat ?

La Tunisie dispose d'une loi de protection des données (loi n°2004-63) mais n'a pas encore obtenu de décision d'adéquation de l'UE.

Cela signifie que vous devez mettre en place des garanties appropriées.

Les obligations RGPD en outsourcing

1. Le contrat de sous-traitance (DPA)

Vous devez signer un Data Processing Agreement (DPA) avec votre prestataire tunisien.

Ce contrat doit inclure :

  • La nature et la finalité du traitement
  • Le type de données traitées
  • Les catégories de personnes concernées
  • Les obligations du sous-traitant
  • Les mesures de sécurité
  • Les conditions de sous-traitance ultérieure
  • L'assistance au responsable de traitement
  • La suppression ou restitution des données

2. Les clauses contractuelles types (SCC)

Pour les transferts hors UE, vous devez utiliser les Standard Contractual Clauses approuvées par la Commission européenne.

Offshore Tunisie fournit ces clauses dans tous ses contrats de portage.

3. L'analyse d'impact (PIA)

Si le traitement présente un risque élevé, vous devez réaliser une Privacy Impact Assessment.

Exemples de cas nécessitant un PIA :

  • Traitement de données sensibles (santé, religion, etc.)
  • Surveillance systématique à grande échelle
  • Profilage avec effets juridiques
  • Données de personnes vulnérables

Les mesures de sécurité obligatoires

Sécurité technique

  • Chiffrement : Données en transit (HTTPS, VPN) et au repos
  • Authentification : Accès sécurisés, 2FA recommandé
  • Journalisation : Logs d'accès et de modifications
  • Sauvegarde : Backups réguliers et sécurisés
  • Antivirus/Firewall : Protection contre les malwares

Sécurité organisationnelle

  • Politique de confidentialité : Règles claires et signées
  • Formation : Sensibilisation RGPD des équipes
  • Contrôle d'accès : Principe du moindre privilège
  • Procédures : Gestion des incidents, violations de données
  • Audit : Contrôles réguliers de conformité

Les droits des personnes concernées

Vos collaborateurs tunisiens doivent être capables de gérer :

Droit d'accès

Les personnes peuvent demander une copie de leurs données. Délai de réponse : 1 mois maximum.

Droit de rectification

Correction des données inexactes ou incomplètes.

Droit à l'effacement

Suppression des données dans certains cas (retrait du consentement, données non nécessaires, etc.).

Droit à la portabilité

Fourniture des données dans un format structuré et lisible par machine.

Droit d'opposition

Opposition au traitement pour des raisons tenant à la situation particulière.

Gestion des violations de données

Notification obligatoire

En cas de violation de données, vous devez :

  1. Notifier la CNIL sous 72h si risque pour les droits des personnes
  2. Informer les personnes concernées si risque élevé
  3. Documenter la violation dans un registre

Procédure avec Offshore Tunisie

Notre procédure en cas d'incident :

  1. Détection et confinement immédiat
  2. Notification au client sous 24h
  3. Investigation et rapport détaillé
  4. Mise en place de mesures correctives
  5. Assistance pour la notification CNIL

Le registre des activités de traitement

Vous devez tenir un registre RGPD documentant :

  • Les finalités du traitement
  • Les catégories de données
  • Les destinataires des données
  • Les transferts hors UE
  • Les délais de conservation
  • Les mesures de sécurité

Offshore Tunisie vous fournit un modèle de registre adapté à l'outsourcing.

Checklist de conformité RGPD

Avant de démarrer

  • ☐ Signer un DPA avec le prestataire
  • ☐ Intégrer les SCC au contrat
  • ☐ Réaliser un PIA si nécessaire
  • ☐ Mettre à jour le registre des traitements
  • ☐ Informer la CNIL si nécessaire

Pendant la collaboration

  • ☐ Former les équipes au RGPD
  • ☐ Vérifier les mesures de sécurité
  • ☐ Auditer régulièrement la conformité
  • ☐ Gérer les demandes d'exercice de droits
  • ☐ Documenter les incidents

Les sanctions en cas de non-conformité

Le RGPD prévoit des amendes importantes :

  • Niveau 1 : Jusqu'à 10M€ ou 2% du CA mondial
  • Niveau 2 : Jusqu'à 20M€ ou 4% du CA mondial

Au-delà des amendes, les risques incluent :

  • Atteinte à la réputation
  • Perte de confiance des clients
  • Actions en justice des personnes concernées

Comment Offshore Tunisie vous aide

Nous garantissons la conformité RGPD :

  • ✓ DPA et SCC inclus dans tous nos contrats
  • ✓ Infrastructure sécurisée et auditée
  • ✓ Formation RGPD de nos équipes
  • ✓ Procédures de gestion des incidents
  • ✓ Assistance pour vos obligations
  • ✓ Documentation complète fournie

Conclusion

Le RGPD ne doit pas être un frein à l'outsourcing en Tunisie. Avec les bonnes garanties contractuelles et organisationnelles, vous pouvez externaliser en toute conformité. Offshore Tunisie vous accompagne pour respecter toutes vos obligations.

Prêt à externaliser en Tunisie ?

Obtenez votre devis personnalisé en moins de 24h