La CNIL annonce sa stratégie de contrôle pour 2019
Pour que le contrôle du sous traitant par le responsable de traitement soit effectif, il ne suffit pas de faire signer au sous traitant un "avenant RGPD" (conforme à l'article 28 RGPD) et de le classer sans suite, ce qui est malheureusement souvent le cas.
Il faut aussi mesurer effectivement le degré de maturité du sous-traitant en matière de sécurité, ce qui peut passer par un questionnaire de sécurité que l'on demande au sous traitant de remplir sur une base déclarative. Cette pratique permet en général d'obtenir un premier niveau d'évaluation pertinent sur la maturité effective du sous traitant.
Si le sous-traitant est sur un chemin de traitement sensible, il ne faut pas s'en contenter : le responsable de traitement doit déclencher un audit et obtenir la mise en oeuvre de mesures correctives.
Ces pratiques sont compliquées à mettre en oeuvre, car elles ont incontestablement un coût. Mais elles sont dans l'intérêt de toutes les parties, étant rappelé que sous le RGPD, le sous-traitant est également passible de sanctions élevées.