Consultation publique : Référentiel relatif à la certification RGPD des sous-traitants

  • Actuel Consultation
  • Terminé
Préambule

La CNIL invite les acteurs à regrouper, si possible, leurs commentaires au sein d’une contribution unique en mutualisant les différents retours internes ou en se rapprochant de leur fédération.

Les contributions transmises à la CNIL dans ce cadre ne sont pas publiques et leur confidentialité sera assurée. Celles-ci pourront être résumées et restituées dans le cadre de l’éventuelle synthèse de la consultation publique publiée par la CNIL à l’issue de celle-ci. Ces résumés ou synthèses ne contiendront aucune information personnelle relative à l’identité des répondeurs ni à l’organisme auquel appartient le répondeur.

Il faut noter toutefois que les contributions pourraient faire l’objet d’une demande d’accès en tant que documents administratifs (code des relations entre le public et l’administration). Dans votre contribution, signalez tout élément protégé par des droits de propriété littéraire ou artistique (précisez, dans ce cas, si vous en permettez ou non la communication), ou par le secret des affaires. Il faut noter que la CNIL n’est pas tenue de suivre votre évaluation sur ce qui est protégé ou non.

Introduction

Les questions suivantes ont pour objectif d’identifier vos principales attentes d’une certification pour sous-traitants et d’ajuster le niveau de protection requis pour y accéder.

Les retours plus détaillés, portant sur un ou plusieurs critères du référentiel, permettront également à la CNIL d’adapter plus spécifiquement son projet. Dans l’expression de vos attentes, certaines limitations inhérentes à la certification sont à prendre en considération.

En particulier, il est à souligner que l’évaluation réalisée pour certifier une prestation ou un service « clé en main » n’est pas exhaustive : elle n’est généralement pas menée dans le contexte de chaque client du sous-traitant. En effet, selon le nombre des clients du sous-traitant, l’organisme certificateur peut être amené à réaliser ses vérifications par échantillonnage, par exemple en sélectionnant un nombre restreint de clients pour vérifier le respect d’un critère.

Ainsi, la certification n’est pas un outil adapté pour garantir au responsable de traitement la mise en œuvre d’éventuelles clauses contractuelles négociées ou d’instructions spécifiques au contexte de son traitement, hors celles recensées explicitement par les critères du référentiel.

La certification n’a pas non plus vocation à établir le respect par le sous-traitant d’obligations qui incombent à ses clients (responsables de traitement), ou à ses sous-traitants ultérieurs. Par ailleurs, la certification proposée ne constitue pas un outil de transfert, pour la mise en œuvre d’un transfert hors de l’Union européenne moyennant des garanties appropriées au sens de l’article 46 du RGPD.

Toutes les questions sont facultatives: il n'est donc pas nécessaire de répondre à toutes les questions ci-dessous pour envoyer votre contribution.

Informations de contact
Votre organisme est situé en :
Q1 : Vous répondez à cette consultation en tant que :


 

Q2 : Quelles sont vos principales attentes d’une certification RGPD des sous-traitants ?

Une à trois réponses possibles
 


 

Q3 : Quelles sont les thématiques de conformité au RGPD ou sources de difficulté auxquelles la certification devrait répondre ?

Une à trois réponses possibles
 


 


Les questions suivantes se basent sur des points détaillés du projet de référentiel soumis à consultation.

Consulter le référentiel


 


 

Q5 : Parmi les exigences suivantes imposées au sous-traitant pour obtenir la certification, lesquelles vous semblent constituer un obstacle trop important ou dissuasif ?

Une à trois réponses possibles
 


 

Q6 : Parmi les exigences suivantes qui ne sont pas imposées au sous-traitant pour obtenir la certification, lesquelles vous semblent nécessaires ?

Une à trois réponses possibles
 

La CNIL traite les données recueillies à partir de ce formulaire afin d’analyser les observations des participants en vue d'adopter le référentiel concerné. Les données sont également collectées pour réaliser des statistiques relatives aux contributions et, si nécessaire, pour contacter les contributeurs afin d’approfondir les échanges ou les tenir informés des suites de la consultation. La base légale du traitement est l'exercice de l'autorité publique. Les données sont communiquées aux services de la CNIL en charge de l’analyse des réponses fournies.

Vous pouvez accéder à vos données, vous opposer à leur traitement, demander leur rectification ou leur effacement. Vous pouvez également exercer votre droit à la limitation du traitement de vos données.

En savoir plus sur la gestion de vos données et vos droits.