Pour le technicien qui intervient.
Depuis l'arrêt Schrems II, tout transfert de données hors UE doit reposer sur une garantie appropriee : décision d'adequation (peu de pays), clauses contractuelles types CCT, règles d'entreprise contraignantes BCR. Le Privacy Shield est invalide. Pour les Etats-Unis, évaluer l'application du Data Privacy Framework. Tout transfert sans garantie est une violation grave.
Un sous-traitant qui sous-traite a son tour (clouder, prestataire de support, telephonie) etend la chaine de risque. Le DPA doit prevoir une information prealable du responsable de traitement avant tout nouveau sous-sous-traitant. Tenir une cartographie a jour : sans elle, impossible de tracer ou sont reellement les données.
Pour le responsable / gestionnaire.
Depuis l'arrêt Schrems II, tout transfert de données hors UE doit reposer sur une garantie appropriee : décision d'adequation (peu de pays), clauses contractuelles types CCT, règles d'entreprise contraignantes BCR. Le Privacy Shield est invalide. Pour les Etats-Unis, évaluer l'application du Data Privacy Framework. Tout transfert sans garantie est une violation grave.
L'article 28 du RGPD impose un contrat ecrit entre le responsable de traitement et chaque sous-traitant qui manipule des données personnelles. Ce DPA (Data Processing Agreement) doit contenir des clauses obligatoires : objet, durée, finalite, nature des données, obligations du sous-traitant, droit d'audit. Un sous-traitant sans DPA signe est une non-conformite majeure.
Pour les sous-traitants hebergeant des données sensibles, exiger une certification reconnue : ISO 27001, SOC 2 Type II, HDS pour les données de sante, PCI-DSS pour les données de paiement, SecNumCloud pour les services sensibles. La certification est un raccourci pour évaluer la maturite sécurité. Vérifier la portee de la certification et sa validite.
Un sous-traitant qui sous-traite a son tour (clouder, prestataire de support, telephonie) etend la chaine de risque. Le DPA doit prevoir une information prealable du responsable de traitement avant tout nouveau sous-sous-traitant. Tenir une cartographie a jour : sans elle, impossible de tracer ou sont reellement les données.
Le droit d'audit (RGPD art. 28.3.h) permet au responsable de traitement de vérifier la conformite du sous-traitant : audit sur site, questionnaire, audit a distance. Negocier cette clause des le contrat initial : sans elle, l'auditeur sera bloque le jour ou il faut vérifier. Cadrer les modalites pour rester acceptable des deux cotes.
Le sous-traitant critique de l'année derniere peut avoir change de proprietaire, perdu sa certification, change de localisation. Realiser une revue annuelle pour les sous-traitants critiques : statut certification, evenements de sécurité, changement de propriete, evolutions du DPA. Tracer la revue et ses conclusions.
Pour l'auditeur et le contrôle de conformité.
L'article 28 du RGPD impose un contrat ecrit entre le responsable de traitement et chaque sous-traitant qui manipule des données personnelles. Ce DPA (Data Processing Agreement) doit contenir des clauses obligatoires : objet, durée, finalite, nature des données, obligations du sous-traitant, droit d'audit. Un sous-traitant sans DPA signe est une non-conformite majeure.
Pour les sous-traitants hebergeant des données sensibles, exiger une certification reconnue : ISO 27001, SOC 2 Type II, HDS pour les données de sante, PCI-DSS pour les données de paiement, SecNumCloud pour les services sensibles. La certification est un raccourci pour évaluer la maturite sécurité. Vérifier la portee de la certification et sa validite.
Le sous-traitant critique de l'année derniere peut avoir change de proprietaire, perdu sa certification, change de localisation. Realiser une revue annuelle pour les sous-traitants critiques : statut certification, evenements de sécurité, changement de propriete, evolutions du DPA. Tracer la revue et ses conclusions.