Rappel de la CNIL : 6 bonnes pratiques pour respecter les données personnelles
Image
Depuis l’entrée en application du RGPD, les sous-traitants et les responsables de traitement sont tenus de respecter de nouvelles obligations. La CNIL a donc rappelé quelques bonnes pratiques à adopter :
- Déterminer le statut des acteurs impliqués : le donneur d’ordre et le prestataire de service doivent chacun définir leur rôle sur la base des articles 4.7, 4.8 et 28.10 du RGPD.
- Etablir un contrat clair : le contrat doit inclure toutes les mentions obligatoires listées à l’article 28.3 du RGPD.
- Documenter l’activité de sous-traitance : en plus de la conclusion d’un contrat de sous-traitance, le sous-traitant doit notamment tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement (article 30.2 du RGPD).
- Proposer des outils respectueux des données personnelles : le sous-traitant et le responsable de traitement doivent offrir des garanties suffisantes pour répondre aux exigences du RGPD (article 28.1), via par exemple une interface de recueil du consentement, un lien de désinscription automatique, un système de purge automatique des données dont la durée de conservation est arrivée à son terme...
- Aider le responsable de traitement à répondre aux demandes d’exercices des droits des personnes : cela peut passer par la mise en place d’une interface avec un système de suivi et de répartition automatique des demandes d’exercice des droits en fonction de leur objet.
- Garantir la sécurité des données collectées : le sous-traitant doit assurer un niveau de sécurité suffisant au regard de la nature des données collectées pour le responsable de traitement (article 32 du RGPD).
Pour aller plus loin :