Les questions suivantes ont pour objectif d’identifier vos principales attentes d’une certification pour sous-traitants et d’ajuster le niveau de protection requis pour y accéder.
Les retours plus détaillés, portant sur un ou plusieurs critères du référentiel, permettront également à la CNIL d’adapter plus spécifiquement son projet. Dans l’expression de vos attentes, certaines limitations inhérentes à la certification sont à prendre en considération.
En particulier, il est à souligner que l’évaluation réalisée pour certifier une prestation ou un service « clé en main » n’est pas exhaustive : elle n’est généralement pas menée dans le contexte de chaque client du sous-traitant. En effet, selon le nombre des clients du sous-traitant, l’organisme certificateur peut être amené à réaliser ses vérifications par échantillonnage, par exemple en sélectionnant un nombre restreint de clients pour vérifier le respect d’un critère.
Ainsi, la certification n’est pas un outil adapté pour garantir au responsable de traitement la mise en œuvre d’éventuelles clauses contractuelles négociées ou d’instructions spécifiques au contexte de son traitement, hors celles recensées explicitement par les critères du référentiel.
La certification n’a pas non plus vocation à établir le respect par le sous-traitant d’obligations qui incombent à ses clients (responsables de traitement), ou à ses sous-traitants ultérieurs. Par ailleurs, la certification proposée ne constitue pas un outil de transfert, pour la mise en œuvre d’un transfert hors de l’Union européenne moyennant des garanties appropriées au sens de l’article 46 du RGPD.
Toutes les questions sont facultatives: il n'est donc pas nécessaire de répondre à toutes les questions ci-dessous pour envoyer votre contribution.