RGPD : la responsabilisation des prestataires de services en informatique

La CNIL s’est intéressée au secteur des prestataires de services en informatique. A cet effet, cette dernière a analysé les mécanismes mis en œuvre par les sous traitants pour répondre à leurs nouvelles obligations résultant de l’entrée en vigueur du RGPD: précision du rôle des parties dans les contrats, transparence, traçabilité, sécurité, assistance, etc. Rappelons qu’en la matière, le RGPD accorde à ces derniers un statut spécifique et un rôle clef. L’audit mis en place par la CNIL a été réalisé auprès d’un panel de 24 organismes et concernant tant de très petites entreprises spécialisées que des acteurs majeurs offrant une gamme de service plus large. Cet audit a permis de mettre en lumière un certain nombre de marges de progression qui sont les suivantes : • certaines sociétés interrogées ont mentionné n’avoir mis en place aucune procédure de gestion d’incident de sécurité ; • peu d’acteurs assistent leurs clients pour l’élaboration d’analyses d’impact sur la protection des données (AIPD) ou des procédures de réponse à l’exercice des droits des personnes.