La CNIL (Commission nationale de l’informatique et des libertés) a décidé d’introduire une certification RGPD pour les sous-traitants. Cette initiative a pour objectif de simplifier le choix des prestataires pour les entreprises, en offrant une garantie de conformité en matière de protection des données personnelles.
Le défi de choisir un sous-traitant fiable
Les entreprises collaborent souvent avec des sous-traitants pour gérer leurs données : hébergeurs web, agences marketing, développeurs de logiciels, etc. En tant que responsables de traitement, elles doivent vérifier que ces prestataires respectent le RGPD, comme l’exige son article 28. Ce processus peut se révéler complexe et devenir un obstacle à la création de partenariats.
Avec la certification, la CNIL propose une solution concrète : un label de confiance qui atteste que les sous-traitants remplissent les critères nécessaires pour protéger les données.
Une consultation publique pour co-construire la certification
Pour élaborer cette certification, la CNIL a lancé une consultation publique, accessible à tous les acteurs concernés : entreprises, sous-traitants, DPO ou responsables de traitement. Les participants peuvent répondre à six questions pour contribuer à la définition des exigences. Cette phase de consultation s’achèvera en février 2025, ouvrant la voie à une première vague de certifications la même année.
Quels sous-traitants sont concernés ?
Tout organisme, qu’il soit public ou privé, basé en Europe, et manipulant des données personnelles pour le compte d’un tiers, pourra prétendre à la certification. Celle-ci sera valable pour une durée de trois ans, renouvelable, et pourra s’appliquer à une prestation précise ou à une offre globale, selon les accords établis avec l’organisme certificateur.
La certification s’adresse en priorité aux services « clés en main », mais reste ouverte aux solutions personnalisées.
Un référentiel structuré autour de 90 critères
- L’élaboration du contrat avec le responsable de traitement
- La mise en place des mesures de sécurité et la préparation des traitements
- La gestion opérationnelle des traitements
- La fin des traitements et la restitution des données
- Un plan d’action durant la période de certification (facultatif)
Ce référentiel, consultable sur le site de la CNIL, est conçu pour garantir un haut niveau de protection des données tout en restant accessible aux sous-traitants motivés par une démarche d’amélioration continue.
Un équilibre entre ambition et praticité
L’ambition de la CNIL est claire : proposer une certification exigeante mais accessible, qui encourage les sous-traitants à progresser dans leur gestion des données personnelles.
