Blog Données personnelles
- Accueil
- Blogs
- Données personnelles
- La CNIL lance une consultation publique ...
La CNIL lance une consultation publique relative à un projet de référentiel de certification des sous-traitants
- 27 janvier 2025
- Jeanne BOSSI MALAFOSSE, Guillaume BUHAGIAR
- Données personnelles
Le 23 décembre 2024, la CNIL a annoncé l’ouverture d’une consultation publique portant sur un projet de « Référentiel relatif à la certification RGPD des sous-traitants » [1] (« Référentiel de certification »).
Conformément à l’article 28 du RGPD [2], un responsable de traitement souhaitant confier à un sous-traitant la réalisation d’un traitement pour son compte, doit uniquement recourir « à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées » de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes concernées.
Dans ce contexte, la certification obtenue par les sous-traitants leur permettra d’attester de la conformité au RGPD des traitements qu’ils réalisent pour le compte de tiers, et ainsi de renforcer leur compétitivité sur le marché. Pour les responsables de traitement, cette certification leur permettra de bénéficier d’un moyen de sélection de leurs prestataires de services.
Pourra candidater à la certification tout organisme public ou privé établi dans l’Union Européenne, ou dans un Etat membre de l’espace économique européen, effectuant des traitements de données personnelles pour le compte d’un responsable du traitement.
La certification, valable pour une durée de trois ans renouvelable, sera délivrée par un organisme certificateur agréé chargé d’évaluer la conformité du/des traitement(s) soumis à certification, aux 90 critères détaillés au sein du Référentiel de certification, et de son annexe relative aux mesures de sécurité.
Il appartiendra au sous-traitant de recenser le(s) traitement(s) et service(s) qu’il souhaite soumettre à la certification, étant précisé que seuls les traitements soumis au RGPD et effectués pour le compte de clients également soumis au RGPD peuvent être certifiés.
Comme le précise la CNIL, le Référentiel de certification « suit une approche généraliste pour permettre la certification d’une grande diversité de traitements » indépendamment de la technologie utilisée ou du secteur d’activité.
La consultation publique reste ouverte jusqu’au 28 février 2025.