La CNIL a publié un guide pour sensibiliser et accompagner les sous-traitants dans la mise en œuvre concrète de leurs obligations au titre du RGPD. A savoir :
- Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent prendre en compte la protection des données, dès la conception du service ou du produit et par défaut, et mettre en place des mesures permettant de garantir une protection optimale des données.
- Les sous-traitants ont notamment une obligation de conseil auprès des clients pour le compte desquels ils traitent des données. Ils doivent les aider dans la mise en œuvre de certaines obligations du Règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits).
- Les sous-traitants (sauf pour les entreprises de moins de 250 salariés), devront tenir un registre des activités de traitement effectuées pour le compte de leurs clients.
- Dans certains cas, ils devront désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement.
Le guide propose également un exemple de clauses de sous-traitance à adapter et préciser selon la prestation de sous-traitance concernée et ce, dans l’attente de future <em>Clauses Contractuelles Types</em> au niveau de l’UE.
La CNIL précise que le guide pourra être enrichi, compte tenu des bonnes pratiques remontées auprès de la CNIL par les professionnels.
Contact : stephanie.faber@squirepb.com