Rechercher
Fermer ce champ de recherche.
Notre équipe est
à votre service
Nous sommes disponible pour répondre à toutes
vos questions
Votre interlocuteur
dans le processus de
digitalisation de
vos documents

RGPD et responsabilités des sous-traitants

Depuis le 25 mai 2018, les entreprises doivent se conformer à la législation sur le Règlement Général sur la Protection des Données (RGPD) – Loi du 20 juin 2018

Lors du Sweep Day 2018, un événement regroupant les autorités de protections des données membres du GPEN (« Global Privacy Enforcement Network »), comprenant la CNIL, s’est reposée la question de la protection des données personnelles et notamment de la responsabilité des prestataires de services informatiques dans ce domaine.

Il a été rappelé la place importante des sous-traitants au niveau de la protection des données et de l’obligation d’accompagner les responsables de traitement sur le sujet de la sécurité.

Qu’est-ce qu’un Responsable de Traitement ?

Le responsable de traitement est celui « qui détermine les finalités et les moyens d’un traitement » (article 4 du règlement européen–définitions).

La CNIL met à disposition des ressources à destination des PME et TPE et des sous-traitants et rappelle l’intérêt de désigner un Délégué à la Protection des Données (DPO).

Etat des lieux des mesures appliquées
 

La CNIL a interrogé un panel de 24 organismes sous-traitants français de toutes envergues afin de contrôler l’avancement des mesures prises pour répondre aux nouvelles exigences de la RGPD.

Cette enquête a montré que l’information et la sensibilisation à la nécessité de protection des données semblent avoir été bien mises en œuvre par la majorité des organismes. Procédures, documentation et affectation d’équipes sur les questions de protection des données ont bien été mises en place.

Toutefois, le suivi, l’actualisation et l’accompagnement dans l’analyse et le contrôle interne de ces actions restent encore des points à améliorer. De même que la mise en place de procédures de gestion des incidents, des plaintes et des demandes d’exercice des droits des personnes.

En conclusion
 

Il est nécessaire de ne pas se reposer sur ses acquis et considérer que les procédures définies sont suffisantes pour respecter les nouvelles exigences en termes de protections des données.

Les faire évoluer et s’assurer qu’elles sont concrètement et correctement appliquées par l’ensemble des acteurs de l’entreprise est impératif.

Prévoir les moyens de traiter les incidents, les plaintes et les demandes d’exercice des droits est aussi primordial pour satisfaire les exigences de la RGPD.

Consulter l’article de la CNIL
Articles similaires
EDI (Échange de Données Informatisé) est un acronyme français qui signifie « Electronic Data Interchange » en anglais, soit l’échange...
La facturation électronique est en passe de devenir la norme dans de nombreux pays, et la France ne fait pas...