Le 9 juillet dernier, dans le prolongement de vérifications réalisées auprès de 15 fournisseurs de services et solutions informatiques en ligne (sans qu’aucune précision ne soit faite sur ces vérifications), la CNIL a publié des bonnes pratiques à destination des responsables de traitement et des sous-traitants.
Pour mémoire, le règlement 2016/679 (ci-après « RGPD ») impose des obligations aux responsables de traitement et sous-traitants.
Afin d’accompagner les entreprises agissant comme sous-traitant, au sens du RGPD, la CNIL avait publié un guide à leur attention en septembre 2017 (accessible ici). Dans le prolongement de ce guide, la CNIL propose six bonnes pratiques adressées aux responsables de traitement et aux sous-traitants.
A ce titre, la CNIL recommande de :
- Déterminer le statut des acteurs impliqués, le cas échéant, en qualifiant la relation de sous-traitance au sens du RGPD ;
- Etablir un contrat clair, incluant les mentions obligatoires de l’article 28 du RGPD. A cet égard, la CNIL recommande de porter une attention particulière à la définition et l’encadrement du traitement de données à caractère personnel ainsi qu’aux conditions de recours à la sous-traitance ultérieure ;
- Documenter l’activité de sous-traitance, en (i) veillant à ce que les instructions données par le responsable de traitement soient formalisées par écrit, (ii) tenant un registre des activités de traitement réalisées pour le compte du responsable de traitement et, (iii) veillant à ce que le sous-traitant mette à disposition les informations nécessaires à la démonstration du respect de ses obligations et à la réalisation d’audit ;
- Proposer des outils respectueux des données à caractère personnel, comme une interface de recueil du consentement, un lien de désinscription automatique, une interface et un modèle d’information des personnes ou, un système de purge automatique des données dont la durée de conservation serait arrivée à son terme ;
- Aider le responsable de traitement à répondre aux demandes d’exercice des droits des personnes concernées, notamment grâce à la mise en place d’une interface d’exercice des droits des personnes permettant le suivi et la répartition automatique des demandes d’exercice des droits en fonction de leur objet ; et
- Garantir la sécurité des données collectées, par exemple en exigeant la communication par le prestataire de sa politique de sécurité des systèmes d’information (PSSI), mettant en œuvre des audits de sécurité, ou des certifications de l’organisme et/ou de son personnel.
Enfin, la CNIL indique que le Comité européen de la protection des données est en cours de rédaction de travaux sur les notions de responsables de traitement et sous-traitant. Une fois publiés, ces travaux compléteront ainsi les présentes recommandations.
Lien vers la publication : https://www.cnil.fr/fr/responsable-de-traitement-et-sous-traitant-6-bonnes-pratiques-pour-respecter-les-donnees
