La CNIL va lancer une certification RGPD des sous-traitants
La commission veut faciliter le choix des sous-traitants par les responsables de traitement.
Choisir un sous-traitant « de confiance »
Les entreprises font régulièrement appel à des sous-traitants pour gérer leurs données : hébergement web, agences marketing, ESN, éditeurs de logiciels… Considérées comme des responsables de traitement, elles doivent sélectionner des sous-traitants qui, selon l’article 28 du RGPD, « présentent les garanties suffisantes pour répondre aux exigences » dudit règlement. Un processus qui peut s’avérer complexe et freiner les partenariats avec les fournisseurs.
La CNIL lance une consultation publique
Pour faciliter le choix des sous-traitants, la CNIL va créer une certification dédiée. Elle permettra à un responsable de traitement de choisir plus sereinement les entreprises qui pourront traiter ses données. La consultation publique vient d’être lancée, elle sera terminée fin février. Un calendrier relativement contenu, qui laisse espérer de premières certifications de sous-traitants courant 2025.
Vous pouvez y participer simplement en répondant à ces 6 questions, quelle que soit votre position : sous-traitant, DPO, responsable de traitement…
Qui est concerné par la certification des sous-traitants ?
Toutes les entreprises privées et les organismes publics, domiciliés en Europe, dès lors qu’ils traitent des données personnelles pour le compte d’une entreprise tierce, pourront prétendre à la certification RGPD des sous-traitants.
Les sous-traitants seront certifiés pour une période de 3 ans renouvelable. Le périmètre sera défini par le demandeur en accord avec l’organisme certificateur : vous pourrez ainsi obtenir une certification pour une prestation spécifique. La CNIL précise que les services clés en main sont particulièrement visés, mais que les solutions sur mesure peuvent également postuler.
90 points de contrôle
Pour son projet de certification, la CNIL a créé un référentiel de 90 éléments à vérifier. Ils sont répartis selon une chronologie classique de traitement :
- La contractualisation avec le responsable de traitement
- La préparation du traitement et les mesures de sécurité associées
- La mise en œuvre du traitement
- La fin du traitement
À ces quatre parties peut s’ajouter une cinquième étape liée au plan d’action à mener durant la période de certification. Vous pouvez consulter le projet de référentiel sur le site de la CNIL : le texte n’est pas définitif, mais il est déjà très fourni et permet de visualiser les 90 critères en détail.
La commission veut cibler une certification « qui fixe un niveau ambitieux tout en restant accessible aux sous-traitants qui acceptent de s’engager dans une démarche d’amélioration de leur maturité en matière de protection des données ».
Community managers : découvrez les résultats de notre enquête 2025
Réseaux, missions, salaire... Un webinar pour tout savoir sur les CM, lundi 29 septembre à 11h !
Je m'inscrisLes meilleurs outils productivité
Shine
Sage 50
Sage Active
