Politique de conformité RGPD — Sous-traitants

Conformément à l'article 28 du RGPD, Smalto s'assure que tout sous-traitant traitant des données personnelles pour son compte présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

Chaque relation de sous-traitance est encadrée par un contrat de traitement de données (Data Processing Agreement — DPA) conforme à l'article 28 du RGPD, précisant notamment : la nature et la finalité des traitements, la durée de conservation, les instructions documentées, les obligations de confidentialité et de sécurité, et les modalités de retour ou de destruction des données.

La liste des principaux sous-traitants de Smalto ayant accès à des données personnelles est disponible sur demande à privacy@smalto.com. Elle comprend notamment les prestataires d'hébergement, d'ERP, de paiement, de messagerie et d'analyse.

Smalto informe les personnes concernées de tout changement envisagé concernant l'ajout ou le remplacement d'un sous-traitant présentant un impact significatif, dans un délai raisonnable permettant d'exercer un droit d'opposition.

Smalto procède à une évaluation préalable de la conformité RGPD de ses sous-traitants lors de leur sélection, et à des vérifications périodiques de leur conformité en cours de relation. Ces évaluations peuvent prendre la forme de questionnaires de conformité, d'audits documentaires ou d'audits sur site.