{ "uuid": "7c9944430e7118051d338eb50ec960f5", "slug": "revue-sous-traitants-dpa", "lang": "fr", "audience": null, "count": 6, "conseils": [ { "uuid": "a121b87dcc13490481e7d87f211058bb", "category": "regulatory", "audience": [ "manager", "auditor" ], "severity": "mandatory", "title": "DPA obligatoire avec chaque sous-traitant (art. 28 RGPD)", "content": "L'article 28 du RGPD impose un contrat ecrit entre le responsable de traitement et chaque sous-traitant qui manipule des données personnelles. Ce DPA (Data Processing Agreement) doit contenir des clauses obligatoires : objet, durée, finalite, nature des données, obligations du sous-traitant, droit d'audit. Un sous-traitant sans DPA signe est une non-conformite majeure." }, { "uuid": "17d86dabd7e942528de9ca8c83806608", "category": "regulatory", "audience": [ "manager", "technician" ], "severity": "critical", "title": "Cadrer strictement les transferts hors UE", "content": "Depuis l'arrêt Schrems II, tout transfert de données hors UE doit reposer sur une garantie appropriee : décision d'adequation (peu de pays), clauses contractuelles types CCT, règles d'entreprise contraignantes BCR. Le Privacy Shield est invalide. Pour les Etats-Unis, évaluer l'application du Data Privacy Framework. Tout transfert sans garantie est une violation grave." }, { "uuid": "1926767723e14be2a70bfb9e5d7ca5e3", "category": "operational", "audience": [ "manager", "auditor" ], "severity": "mandatory", "title": "Exiger des certifications de sécurité (ISO 27001, SOC 2)", "content": "Pour les sous-traitants hebergeant des données sensibles, exiger une certification reconnue : ISO 27001, SOC 2 Type II, HDS pour les données de sante, PCI-DSS pour les données de paiement, SecNumCloud pour les services sensibles. La certification est un raccourci pour évaluer la maturite sécurité. Vérifier la portee de la certification et sa validite." }, { "uuid": "5ac6fa908f874cccaf2d86202734670a", "category": "operational", "audience": [ "manager" ], "severity": "recommended", "title": "Inclure une clause d'audit dans le DPA", "content": "Le droit d'audit (RGPD art. 28.3.h) permet au responsable de traitement de vérifier la conformite du sous-traitant : audit sur site, questionnaire, audit a distance. Negocier cette clause des le contrat initial : sans elle, l'auditeur sera bloque le jour ou il faut vérifier. Cadrer les modalites pour rester acceptable des deux cotes." }, { "uuid": "79427fffe5ff4c04a07bf8343efadfec", "category": "operational", "audience": [ "technician", "manager" ], "severity": "mandatory", "title": "Cartographier les sous-sous-traitants", "content": "Un sous-traitant qui sous-traite a son tour (clouder, prestataire de support, telephonie) etend la chaine de risque. Le DPA doit prevoir une information prealable du responsable de traitement avant tout nouveau sous-sous-traitant. Tenir une cartographie a jour : sans elle, impossible de tracer ou sont reellement les données." }, { "uuid": "a3ba6b2bc46242e8818a490998b1ec37", "category": "training", "audience": [ "manager", "auditor" ], "severity": "recommended", "title": "Revoir annuellement les sous-traitants critiques", "content": "Le sous-traitant critique de l'année derniere peut avoir change de proprietaire, perdu sa certification, change de localisation. Realiser une revue annuelle pour les sous-traitants critiques : statut certification, evenements de sécurité, changement de propriete, evolutions du DPA. Tracer la revue et ses conclusions." } ] }