Certification RGPD des sous-traitants La sous-traitance dans le traitement des données personnelles est une réalité incontournable pour de nombreuses entreprises. Afin de garantir la conformité à la réglementation européenne, tant le sous-traitant que le responsable de traitement doivent respecter des obligations strictes prévues par le RGPD. La CNIL joue un rôle clé en facilitant cette conformité grâce à des outils tels que les référentiels de certification.
Obligations des sous-traitants et responsables de traitement
Le RGPD impose aux sous-traitants, qui agissent pour le compte des responsables de traitement, de respecter un cadre précis. Cela concerne des acteurs variés tels que :
- les prestataires de services informatiques (hébergement, maintenance),
- les intégrateurs de logiciels,
- les sociétés de sécurité informatique,
- les entreprises de service du numérique (ESN),
- les agences de marketing ou de communication.
Le responsable de traitement, quant à lui, doit s’assurer que ses sous-traitants présentent des garanties suffisantes pour répondre aux exigences du RGPD, conformément à l’article 28 de ce règlement.
La certification, un outil pour sélectionner des sous-traitants conformes
La CNIL propose un référentiel de certification visant à guider les responsables de traitement dans le choix de sous-traitants conformes. Cette certification atteste que les traitements effectués respectent les critères établis par la CNIL.
Tout organisme, public ou privé, basé en Europe et exerçant des activités de sous-traitance, pourra demander cette certification. Les petites et moyennes entreprises sont particulièrement encouragées à participer, car le référentiel vise à être à la fois ambitieux et accessible.
Un référentiel adapté à une large diversité de traitements
Le référentiel proposé par la CNIL est conçu pour être applicable à divers secteurs et technologies. Il repose sur 90 points de contrôle structurés autour des étapes clés d’un traitement de données :
- Contractualisation ;
- Préparation de l’environnement du traitement (incluant les mesures de sécurité) ;
- Mise en œuvre du traitement ;
- Fin du traitement ;
- Plans d’action sur la période de certification (trois ans, renouvelable).
Le sous-traitant pourra choisir la prestation à certifier en fonction de ses besoins et définir avec l’organisme certificateur le périmètre de l’évaluation.
Questionnaire pour la vérification de conformité
Pour garantir une évaluation exhaustive, le questionnaire pourrait inclure les questions suivantes, basées sur les critères du référentiel de la CNIL :
Partie 1 : Identification et éligibilité du sous-traitant
- Quel est le nom et l’adresse de votre entité juridique ?
- Disposez-vous de plusieurs sites de traitement ? Si oui, lesquels ?
- Quels sont les traitements de données que vous effectuez pour le compte de vos clients ?
- Le RGPD s’applique-t-il à l’ensemble de vos traitements ?
Partie 2 : Engagements contractuels
- Votre contrat de sous-traitance inclut-il les clauses requises par l’article 28 du RGPD ?
- Comment gérez-vous les transferts de données hors de l’UE ?
- Quels engagements prenez-vous pour garantir la sécurité des données ?
Partie 3 : Mesures de sécurité
- Quels dispositifs de sécurité technique et organisationnelle avez-vous mis en place ?
- Disposez-vous d’un plan de gestion des incidents de sécurité ?
- Vos systèmes sont-ils équipés de journaux d’audit et de sauvegardes ?
Partie 4 : Documentation et suivi
- Avez-vous un registre des traitements conforme ?
- Qui est votre délégué à la protection des données (DPO) et quel est son rôle ?
- Comment documentez-vous la conformité de vos activités au RGPD ?
Ce questionnaire doit être proposé sous forme de formulaire clair et accessible, avec des champs pour des réponses détaillées et des justificatifs à joindre lorsque requis. Un organisme certificateur agréé analysera les réponses pour valider ou non la certification.
Certification RGPD des sous-traitants – Exemple d’évaluation pour la partie 0