Vers une certification RGPD des sous-traitants

Consultation sur la certification RGPD des sous traitants
Consultation sur la certification RGPD des sous traitants

Le sous-traitant et le responsable de traitement sont tenus à un certain nombre d’obligations en application du RGPD. La CNIL lance une consultation publique jusqu’au 28 février sur la future certification de conformité des sous-traitants.

Sont notamment concernés : les prestataires de services informatiques (hébergement, maintenance…), les intégrateurs de logiciels, les sociétés de sécurité informatique,
les entreprises de service du numérique (ESN) ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données, les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients” précise la CNIL.

L’institution propose une certification pour améliorer la confiance et garantir que le sous- traitant présente des garanties suffisantes pour répondre aux exigences du RGPD. Les professionnels peuvent ainsi valoriser leurs compétences et afficher un niveau de protection garanti.

La certification permettra d’orienter les responsables de traitement dans le choix de leurs sous-traitants : elle assure que les traitements réalisés par le sous-traitant ont été évalués comme étant conformes aux critères d’un référentiel reconnu par la CNIL.

Qui peut être candidat à la future certification ?

Tout organisme (public ou privé) de l’UE pourra candidater à cette certification. “Les petites et moyennes entreprises sont particulièrement invitées à répondre à cette consultation. En effet, ce référentiel a été conçu avec l’objectif de leur proposer une certification qui fixe un niveau ambitieux tout en restant accessible aux sous-traitants qui acceptent de s’engager dans une démarche d’amélioration de leur maturité en matière de protection des données”.

Un organisme certificateur agréé conduira l’audit “selon le contexte du traitement de données, en s’appuyant sur l’ensemble des recommandations et des ressources publiées par la CNIL (par acteur/secteur ou dans ses grandes thématiques), pour déterminer si chaque critère du référentiel est atteint ou nonLe sous-traitant est libre de déterminer la prestation ou le service qu’il souhaite faire certifier pour répondre à son besoin de reconnaissance” précise le régulateur.

Pour obtenir une certification valable 3 ans, il faudra répondre à un référentiel composé de 90 points de contrôle organisés en 5 parties.
Partie 1 : la contractualisation
Partie 2 : la préparation de l’environnement du traitement, y compris les mesures de sécurité qui sont requises en annexe du référentiel
Partie 3 : la mise en œuvre du traitement
Partie 4 : la fin du traitement
La partie 5 du référentiel intègre des critères relatifs aux plans d’action qui sont à mener par le sous-traitant sur la période de certification, qui sera de 3 ans et renouvelable.

Un formulaire de réponse à la consultation est composé de 6 questions.