En 2019, les services de contrôle de la CNIL se sont penchés sur les conditions dans lesquelles un prestataire traite des données personnelles pour le compte d’un responsable de traitement. 15 contrôles ont donc été effectués auprès de fournisseurs de services et solutions informatiques en ligne. Ces vérifications ont permis de mettre en évidence une réelle prise de conscience de l'évolution du cadre légal d'application du RGPD pour les sous-traitants. Dans un souci d'amélioration continue, la CNIL rappelle 6 bonnes pratiques à adopter pour une sous-traitance en phase avec la législation en vigueur. L’équipe Alcees les a mises en vidéo pour vous faciliter leur appréhension.

Partager cet article

Ce que les entreprises peuvent faire

La CNIL conseille au donneur d’ordre et au prestataire de services d’adopter des bonnes pratiques. En l’occurrence, ils doivent définir chacun leur rôle et s’entendre sur leurs obligations respectives. Ils doivent conclure un contrat intégrant les clauses obligatoires listées à l’article 28 du Règlement européen. En particulier, les conditions dans lesquelles le sous-traitant peut lui-même faire appel à un sous-traitant doivent être précisées, ainsi que la modalité d’autorisation choisie par les parties. Le sous-traitant doit être à mesure de démontrer qu’il agit sur les instructions du donneur d’ordre.Pour cela, les instructions du donneur d’ordre doivent être formalisées par écrit. Si vous souhaitez en savoir plus sur les bonnes pratiques recommandées par la CNIL pour une sous-traitance en phase avec le RGPD, rien de plus simple : suivez le lien https://www.cnil.fr/fr/responsable-de-traitement-et-sous-traitant-6-bonnes-pratiques-pour-respecter-les-donnees

Insights liés

Nos derniers articles