Actualités

RSS

La CNIL annonce sa stratégie de contrôle pour 2019

Pour que le contrôle du sous traitant par le responsable de traitement soit effectif, il ne suffit pas de faire signer au sous traitant un "avenant RGPD" (conforme à l'article 28 RGPD) et de le classer sans suite, ce qui est malheureusement souvent le cas.

Il faut aussi mesurer effectivement le degré de maturité du sous-traitant en matière de sécurité, ce qui peut passer par un questionnaire  de sécurité que l'on demande au sous traitant de remplir sur une  base déclarative. Cette pratique permet en général d'obtenir un premier niveau d'évaluation pertinent sur la maturité effective du sous traitant.

Si le sous-traitant est sur un chemin de traitement sensible, il ne faut pas s'en contenter : le responsable de traitement doit déclencher un audit et obtenir la mise en oeuvre de mesures correctives.

Ces pratiques sont compliquées à mettre en oeuvre, car elles ont incontestablement un coût. Mais elles sont dans l'intérêt de toutes les parties, étant rappelé que sous le RGPD, le sous-traitant est également passible de sanctions élevées.

« Retour



Isabelle Renard

Isabelle Renard est ingénieur de formation. Elle a effectué la première partie de sa carrière dans un grand groupe industriel, dont plusieurs années aux...Lire la suite


Actualités


FNTC

Isabelle Renard est membre expert de la FNTC


Gestion des cookies - ©Cabinet IRenard Avocats - Tous droits réservés Site web avocat Absolute Communication - Réalisation : Agence answeb

Actualités

RSS

La CNIL annonce sa stratégie de contrôle pour 2019

Pour que le contrôle du sous traitant par le responsable de traitement soit effectif, il ne suffit pas de faire signer au sous traitant un "avenant RGPD" (conforme à l'article 28 RGPD) et de le classer sans suite, ce qui est malheureusement souvent le cas.

Il faut aussi mesurer effectivement le degré de maturité du sous-traitant en matière de sécurité, ce qui peut passer par un questionnaire  de sécurité que l'on demande au sous traitant de remplir sur une  base déclarative. Cette pratique permet en général d'obtenir un premier niveau d'évaluation pertinent sur la maturité effective du sous traitant.

Si le sous-traitant est sur un chemin de traitement sensible, il ne faut pas s'en contenter : le responsable de traitement doit déclencher un audit et obtenir la mise en oeuvre de mesures correctives.

Ces pratiques sont compliquées à mettre en oeuvre, car elles ont incontestablement un coût. Mais elles sont dans l'intérêt de toutes les parties, étant rappelé que sous le RGPD, le sous-traitant est également passible de sanctions élevées.

« Retour


Droit des affaires Droit des nouvelles
technologies