Le RGPD ne s'arrête pas à la frontière. Si vos données arrivent à Antananarivo, vous restez responsable. Voici ce que chaque contrat d'externalisation doit contenir.
Le RGPD ne s'arrête pas à la frontière française. Il suit vos données où qu'elles aillent. Et si elles atterrissent dans un centre de contacts à Antananarivo, vous restez responsable de ce qui leur arrive.
Ce n'est pas une contrainte administrative. C'est une protection pour vos clients, et une condition d'accès à vos propres marchés européens.
Madagascar n'est pas dans l'Espace Économique Européen. La Commission européenne n'a pas adopté de décision d'adéquation pour ce pays. En clair : Madagascar n'est pas reconnu comme offrant un niveau de protection des données équivalent à l'UE.
Résultat : tout transfert de données personnelles vers un BPO malgache doit être explicitement encadré, sous peine de violer le chapitre V du RGPD. Ce n'est pas optionnel.
C'est le mécanisme de transfert le plus utilisé. La Commission européenne a adopté de nouvelles CCT le 4 juin 2021 : les anciennes ne sont plus valides depuis le 27 décembre 2022. Ces clauses doivent être intégrées dans votre contrat avec le prestataire, dans le bon module (Module 2 pour un transfert de responsable de traitement vers sous-traitant).
L'article 28 du RGPD impose un contrat écrit avec tout sous-traitant traitant des données personnelles pour votre compte. Ce DPA doit préciser la nature du traitement, les types de données, les obligations du prestataire, les mesures de sécurité, et les conditions d'audit. Sans DPA, vous n'avez aucune protection contractuelle.
Chiffrement des données, contrôle d'accès, journalisation, politique de mot de passe. Ce doit être une documentation écrite, vérifiable, auditée. C'est ce que vos propres clients peuvent vous demander demain matin.
L'article 33 du RGPD vous impose de notifier la CNIL dans les 72h après avoir eu connaissance d'une violation de données. Pour tenir ce délai, votre prestataire doit s'engager contractuellement à vous alerter dans les 24h. Sans cette clause, vous êtes exposé dès le premier incident.
C'est le point le plus fréquemment absent dans les audits. Chaque agent traitant des données personnelles doit avoir signé un engagement de confidentialité et suivi une formation RGPD. Des attestations formelles sont requises :, datées, conservées.
Les donneurs d'ordres sérieux (grandes entreprises, clients régulés, secteur bancaire ou santé) exigent ces documents avant toute signature. Un BPO qui ne peut pas présenter son DPA, ses CCT et ses attestations de formation est simplement hors périmètre pour une grande partie du marché européen.
C'est un vrai différenciateur commercial. Les BPOs qui ont investi dans leur conformité ouvrent des portes que les autres ne peuvent même pas approcher.
Diagnostic Flash offert jusqu'au 1er août 2026. Une journée, trois priorités identifiées, un rapport livré sous 48h.
Prendre contact