RGPD : un nouveau guide de la Cnil pour les sous-traitants

On ne le rappellera jamais assez, tant l'ignorance demeure encore parmi les acteurs économiques, le Règlement général sur la protection des données (RGPD) entrera pleinement en vigueur le 25 mai 2018, les pouvoirs publics et les organismes privés ou publics ayant eu un délai de deux ans pour s'y conformer.

À mesure que l'échéance approche et pour permettre à chacun de s'y préparer au mieux, la Cnil œuvre comme à son habitude pour vulgariser et expliquer les nouvelle donne qui sera donc en vigueur en mai 2018.
Rappelons que les "responsables des traitements" autrement dit tous les chefs d'entreprises, présidents d'associations et autres élus locaux ou dirigeants de personnes publiques, vont voir leurs responsabilités considérablement augmenter et notamment, de nouvelles obligations vont peser sur eux, assorties des sanctions d'usage, dès le 25 mai prochain.

C'est dans ce cadre que la Cnil vient de publier un guide visant à accompagner les entreprises sous-traitantes qui sont amenées à traiter des données à caractère personnel pour le compte de leurs clients.

Selon le communiqué de la Cnil, les sous-traitants qui gèrent des données personnelles pour le compte de leurs clients ont de nouvelles responsabilités au regard du Règlement européen sur la protection des données (RGPD). La CNIL publie un guide pour les sensibiliser et les accompagner dans la mise en œuvre concrète de leurs obligations.

Ces obligations concernent tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation.

Sont notamment concernés :

  • Les prestataires de services informatiques (hébergement, maintenance, …) ;
  • Les intégrateurs de logiciels ;
  • Les sociétés de sécurité informatique ;
  • Les entreprises de service du numérique ou anciennement sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données ;
  • Les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients.

Source : communiqué du 29 septembre

Gageons que la plupart des entreprises des divers secteurs décrits ci-dessus sont encore très largement ignorantes non seulement de nouvelles obligations et responsabilités qui vont peser sur elles, mais même des contraintes que pose déjà l'actuelle législation Informatique, fichiers et libertés.

En savoir plus

Consulter le communiqué complet de la Cnil :
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants
Et accéder au guide en question (pdf, 283 ko, 19 pages) :
https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

Didier FROCHOT