La responsabilité du sous-traitant est une réelle nouveauté. Autrefois la pression exercée sur un sous-traitant s’exerçait surtout par l’intermédiaire de ses clients responsables de traitements qui, utilisant ses mêmes dispositifs, avaient été mis en demeure par la CNIL. Le prestataire réfractaire était alors acculé à se mettre en conformité, non par peur de voir sa responsabilité engagée, mais sous peine de perdre ses clients inquiétés par la CNIL.
Aujourd’hui, la mise en jeu de la responsabilité du sous-traitant est directement activée à son encontre lors d’un contrôle effectué auprès de son client, chaque contrôle effectué auprès d’un client peut potentiellement aboutir à un contrôle de son prestataire.
- GDPR régule processors ¦ Nouveau
- contrôleur contracte uniquement avec les processeurs fournir des garanties suffisantes (ISO 27018 pour par exemple CSP) pour mettre en œuvre les règles de GDPR
- Processeur doit traiter selon les instructions du contrôleur, seul
- Accord de traitement de données entre le contrôleur et processeur plus detailed¦ Nouveau
- fonctions de processeur ou mirroring complétant le ones¦ du contrôleur Nouveau
- Désignation d’un représentant (si non établi dans l’UE)
- Sécurité de traitement
- agent de protection des données
- Le respect des codes de conduite et de certification
- Coopération avec l’autorité de surveillance
- Notification d’une violation des données personnelles à l’autorité de surveillance (processeur doit aviser contrôleur quand il est au courant)
- Des registres détaillés de toutes les catégories d’activités de transformation