La CNIL a soumis à consultation publique un projet de référentiel de certification RGPD destiné aux sous-traitants au sens de l’article 28 du RGPD. Ce texte instaure un mécanisme d’attestation délivré par un organisme de certification accrédité, fondé sur plus de 50 critères couvrant l’ensemble du cycle de vie d’un traitement de données de la phase précontractuelle jusqu’à la suppression définitive des données.
Pour les prestataires de services traitant des données pour le compte de clients, l’enjeu dépasse largement la mise en conformité technique. Ce référentiel impose une révision en profondeur des pratiques contractuelles et organisationnelles, sur plusieurs points qui ne sont pas couverts par une démarche de conformité RGPD classique et qui pourront lui permettre de se démarquer face à ses concurrents.
Ce qui change par rapport à une conformité RGPD ordinaire
La conformité RGPD standard d’un sous-traitant se résume généralement à la signature d’un DPA (Data Processing Agreement) reprenant les clauses de l’article 28 précité, à la tenue d’un registre des traitements et à la désignation d’un DPO lorsque cela est obligatoire.
Le référentiel exige que les obligations contractuelles soient répercutées à l’identique sur les sous-traitants ultérieurs (critères C1.08 et C2.10), avec une procédure formalisée d’autorisation préalable ou de notification au client en cas de changement. Tout nouveau sous-traitant doit être notifié au client au moins un mois avant son recrutement effectif.
Cela implique une revue complète de la chaîne contractuelle de sous-traitance : contrats avec les hébergeurs, éditeurs de logiciels, prestataires cloud, partenaires techniques — tous doivent contenir les clauses listées à l’article 28.3 du RGPD et satisfaire aux critères du référentiel. Un sous-traitant qui ne peut pas imposer ces obligations à ses propres fournisseurs ne pourra pas être certifié.
Au-delà des clauses classiques, le référentiel exige des stipulations que les contrats standard ne contiennent pas systématiquement, notamment l’obligation pour le sous-traitant d’informer son client lorsqu’une instruction du responsable de traitement lui paraît contraire au RGPD (critère C1.15), la clause de suspension en cas de retrait ou suspension de la certification (critère C1.17), et la procédure formalisée de restitution ou suppression des données en fin de contrat avec confirmation écrite datée (critère C4.06).
2. Les démarches juridiques prioritaires à engager
Plusieurs chantiers s’imposent :
- Auditer les contrats existants : Tous les contrats de sous-traitance en cours doivent être passés en revue à l’aune des 17 clauses obligatoires listées aux critères C1.01 à C1.17. Une grille de conformité contractuelle est indispensable pour identifier les lacunes et hiérarchiser les avenants à négocier en priorité.
- Revoir les contrats avec les sous-traitants ultérieurs : La certification impose que les engagements pris envers le client soient intégralement reportés sur les sous-traitants ultérieurs. Il faut donc vérifier que les contrats avec chaque prestataire technique permettent au sous-traitant certifié d’imposer les mêmes obligations. Par ex., de notification des violations de données dans des délais compatibles avec les engagements pris envers le client, et de suppression définitive des données en fin de prestation.
-
Préparer la documentation de certification : La certification repose sur une documentation auditée par un tiers indépendant. Le référentiel impose de tenir à disposition : registre des traitements, cartographie des flux de données, analyse des risques, déclaration d’applicabilité des mesures de sécurité, et plans d’action sur trois ans. Ces documents ont une valeur juridique directe : ils peuvent être produits dans le cadre d’un audit client ou d’un contrôle CNIL.
Ce qu’il faut retenir
La certification CNIL des sous-traitants n’est pas un simple label : c’est un avantage compétitif pour le sous-traitants dans sa recherche de clients (responsables de traitement).
Les entreprises qui anticipent dès maintenant la révision de leurs contrats, de leur documentation et de leur chaîne de sous-traitance se donneront une longueur d’avance afin de profiter au plus tôt de la certification et éviteront d’avoir à reconstruire en urgence une architecture contractuelle qui aurait dû être pensée en amont.
Besoin de l’assistance d’un avocat ou d’un dpo externe afin de se préparer à la certification ? Vous pouvez réserver un entretien en cliquant ici.