“Mon logiciel est en conformité selon mon sous-traitant. Suis-je en conformité ?”

Faux !   Le RGPD est fait pour donner confiance au consommateur, et non pour que les entreprises puissent faire confiance à n’importe qui ou n’importe quoi.

Les obligations des responsables de traitement sont multiples, mais la première est de se montrer responsable, ce qui implique de s’organiser pour respecter le cadre dans sa totalité. Certes votre prestataire vous dit qu’il est en conformité, ou que le logiciel que vous utilisez est conforme, mais en êtes-vous certain et pouvez-vous le démontrer ?

Avant d’être utilisateur d’un service ou d’un logiciel, vous êtes responsable du traitement réalisé grâce à lui !

Il devient donc nécessaire de bien comprendre la portée du texte. Il oblige à créer la preuve de la conformité par une production documentaire, de la même façon que l’expert-comptable produit des documents. Ce « récit » de ce que vous faites dans votre entreprise avec la vie privée des citoyens, vous permet de s’avoir si tel ou tel prestataire correspond à vos attentes.

Dans cette même logique, le maintien de cette adéquation entre le donneur d’ordre, responsable de traitement, et le sous-traitant devient ensuite une nécessité : le sous-traitant aussi doit être capable de rendre des comptes, à l’aide sa propre documentation

Faire une confiance aveugle à vos sous-traitants, c’est un peu comme rouler sur l’autoroute avec un compteur de vitesse en panne. Gare au radars de la CNIL!
Sauf que la sanction peut atteindre 4% du chiffre d’affaire…