La CNIL a publié un projet de référentiel de certification des sous-traitants de données personnelles le 23 décembre 2024, soumis à consultation publique jusqu’au 28 février 2025.

Qui est concerné par ce projet de référentiel de certification ?

Tous les sous-traitants de données personnelles sont concernés par ce futur référentiel de certification.

Il s’agit pour l’essentiel des prestataires informatiques qui traitent des données personnelles pour le compte de leurs clients, que ce soient des entreprises de service du numérique (ESN), des prestataires d’infogérance, des éditeurs de solutions en ligne, des hébergeurs ou encore des acteurs de la sécurité informatique.

Qu’est-ce que la certification RGPD ?

La certification RGPD permettra aux prestataires informatiques et autres sous-traitants de données personnelles de faire certifier la conformité au RGPD de tout ou partie de leurs services.

Elle pourra être obtenue auprès d’un organisme certificateur agréé après vérification du respect des critères du référentiel de certification aujourd’hui en projet.

Quel est l’intérêt d’une certification RGPD ?

Toute entreprise qui fait appel à un prestataire informatique, sous-traitant de données personnelles, a l’obligation de s’assurer que celui-ci présente des garanties suffisantes de conformité au RGPD (article 28 du RPGD).

La certification RGPD permettra aux entreprises de sélectionner des prestataires dont les services sont certifiés conformes par un organisme agréé, sans avoir à évaluer elles-mêmes les garanties présentées par ceux-ci.

Pour les prestataires, la certification leur permettra de démontrer objectivement à leurs prospects la conformité de leurs services au RGPD et d’être retenus par préférence à des concurrents non certifiés.

A l’inverse, l’absence de certification de prestataires sera probablement rédhibitoire pour les entreprises.

Que faut-il faire ?

A ce stade, le référentiel de certification des sous-traitants est un projet soumis à consultation publique.

Il est souhaitable, pour les prestataires concernés, de répondre à la consultation de la CNIL pour lui faire part de leurs réalités opérationnelles en vue de faire évoluer le référentiel.

Le projet de référentiel et la réponse à la consultation sont accessibles à cette adresse : https://www.cnil.fr/fr/certification-rgpd-des-sous-traitants-la-cnil-consulte-sur-un-projet-de-referentiel-devaluation

La réponse est ouverte jusqu’au 28 février 2025.

À échéance plus lointaine, il serait avisé de se mettre à niveau du référentiel pour être prêt à solliciter la certification le moment venu.