Les différents établissements traitants des données personnelles voire sensibles sont couramment amenés à contracter avec des sous-traitants (prestataires de services informatiques, intégrateurs de logiciels, etc.) qui doivent, selon l’article 28 du RGPD, présenter « les garanties suffisantes pour répondre aux exigences ».
La CNIL a récemment lancé une consultation publique sur un projet de référentiel d’évaluation pour la certification RGPD des sous-traitants, qui se terminera le 28 février 2025. Cette certification vise à faciliter la démonstration de la conformité au RGPD. Le référentiel comprend 90 points de contrôle couvrant l’ensemble du cycle de vie du traitement des données, incluant la contractualisation, la préparation du traitement et les mesures de sécurité associées, la mise en œuvre du traitement, la fin du traitement et les plans d’action sur la période de certification.
Pour les Établissements et Services Sociaux et Médico-Sociaux (ESSMS), cette certification présente plusieurs avantages importants :