Certification RGPD des sous-traitants : la CNIL consulte sur un projet de référentiel d’évaluation
La certification permet aux professionnels de communiquer sur le niveau de protection des données de leurs produits, services, processus ou systèmes de données. Afin de construire un référentiel adapté aux sous-traitants, la CNIL ouvre une consultation publique jusqu’au 28 février 2025.
Faciliter la démonstration de la conformité au RGPD dans un contexte de sous-traitance
Le sous-traitant et le responsable de traitement sont tenus à un certain nombre d’obligations en application du RGPD.
Les obligations du sous-traitant concernent tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme (le responsable de traitement), dans le cadre d’un service ou d’une prestation. Sont notamment concernés :
- les prestataires de services informatiques (hébergement, maintenance…) ;
- les intégrateurs de logiciels ;
- les sociétés de sécurité informatique ;
- les entreprises de service du numérique (ESN) ou anciennement sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données ;
- les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients.
De son côté, le responsable de traitement est tenu de faire appel à des sous-traitants de confiance, qui présentent des garanties suffisantes pour répondre aux exigences du RGPD (article 28 du RGPD), lorsqu’il décide de leur confier le soin d’effectuer un traitement de données personnelles pour son compte.
La certification permettra d’orienter les responsables de traitement dans le choix de leurs sous-traitants : elle assure que les traitements réalisés par le sous-traitant ont été évalués comme étant conformes aux critères d’un référentiel reconnu par la CNIL.
Qui pourra candidater à cette future certification ?
Dès lors qu’il est établi en Europe, tout organisme (public ou privé) qui effectue des traitements de données personnelles pour le compte d’un responsable de traitement pourra candidater à cette certification.
Les petites et moyennes entreprises sont particulièrement invitées à répondre à cette consultation. En effet, ce référentiel a été conçu avec l’objectif de leur proposer une certification qui fixe un niveau ambitieux tout en restant accessible aux sous-traitants qui acceptent de s’engager dans une démarche d’amélioration de leur maturité en matière de protection des données.
Par ailleurs, ce projet suit une approche généraliste pour permettre la certification d’une grande diversité de traitements de données à partir du même outil de conformité. En effet, le référentiel d’évaluation proposé est ouvert à l’usage de n’importe quelle technologie et aux acteurs de tous les secteurs.
C’est l’organisme certificateur agréé qui conduira son évaluation selon le contexte du traitement de données, en s’appuyant sur l’ensemble des recommandations et des ressources publiées par la CNIL (par acteur/secteur ou dans ses grandes thématiques), pour déterminer si chaque critère du référentiel est atteint ou non.
En quoi consistera l’évaluation à réussir pour obtenir la certification ?
Pour obtenir une certification, il sera nécessaire d’apporter la preuve du respect de chacun des critères du référentiel. Le projet de référentiel d’évaluation est constitué de 90 points de contrôle qui sont organisés selon la chronologie de mise en œuvre d’un traitement de données personnelles effectué pour le compte d’un responsable de traitement :
- partie 1 : la contractualisation ;
- partie 2 : la préparation de l’environnement du traitement, y compris les mesures de sécurité qui sont requises en annexe du référentiel ;
- partie 3 : la mise en œuvre du traitement ;
- partie 4 : la fin du traitement.
Une 5e partie du référentiel intègre des critères relatifs aux plans d’action qui sont à mener par le sous-traitant sur la période de certification, qui sera de 3 ans et renouvelable.
Le sous-traitant est libre de déterminer la prestation ou le service qu’il souhaite faire certifier pour répondre à son besoin de reconnaissance. Avec l’assistance de l’organisme certificateur, le périmètre de l’évaluation sera défini à partir de ce souhait et tous les traitements de données concernés seront ensuite examinés à partir des critères du référentiel.
Étant donné que l’évaluation porte sur la mise en œuvre opérationnelle des traitements, la certification est davantage adaptée aux prestations et services « clé en main » proposés par les sous-traitants. Toutefois, les prestations « sur mesure » ou les nouveaux services des startups pourront également faire l’objet d’une demande de certification quelques mois après le démarrage effectif des traitements de données confiés au sous-traitant, y compris dans le contexte d’une preuve de concept.
Quel est le calendrier de la consultation et qui peut y contribuer ?
Cette consultation publique sur ce projet de référentiel prendra fin le 28 février 2025.
La CNIL souhaite permettre au plus grand nombre (personnes physiques ou morales, publiques ou privées, donneurs d’ordre ou prestataires de services, délégué à la protection des données…) de participer à cette consultation publique.
Elle souhaite en particulier mobiliser les petites et moyenne entreprises qui sont susceptibles de faire appel à la certification pour renforcer le lien de confiance avec leurs clients lorsque l’objet de leur prestation ou service implique le traitement de données personnelles.
Les réponses à la consultation publique peuvent être collectives et se faire par le biais de fédérations, associations, etc.
Un formulaire composé de 6 questions vous est proposé afin de faire part de vos observations générales et vos attentes pour cette certification. Les retours plus spécifiques, portant sur un ou plusieurs critères du référentiel, permettront également à la CNIL d’adapter son projet.
