Javascript is required
logo-dastralogo-dastra

Modèle d'auditSous-traitant RGPD (avancé)

RGPDSous-traitant
Evaluation des mesures mise en œuvre pour répondre aux exigences RGPD en tant que sous-traitant. Version 1.0

1. Politique de conformité au RGPD

1.1. Les relations entre le Responsable de traitement et le sous-traitant font-elles l'objet d'un contrat ?
1.2. Le contrat contient-il les clauses, définissant les responsabilités du sous-traitant, conformes au RGPD ?
1.3. Merci de télécharger le contrat et/ou l'avenant
1.4. Le sous-traitant a-t-il formalisé une Politique de Protection des Données Personnelles ?
1.5. Merci de télécharger la politique de confidentialité
1.6. Le sous-traitant a-t-il désigné un DPO ?
1.7. Merci d'indiquer ses coordonnées (Nom, Prénom, téléphone, adresse email)
1.8. Le sous-traitant a-t-il nommé un Responsable de la Sécurité des Systèmes d'information (RSSI) ?
1.9. Merci d'indiquer ses coordonnées (Nom, Prénom, téléphone, adresse email)
1.10. Le sous-traitant tient-il un registre des traitements pour les prestations confiées par le responsable de traitement ?
1.11. Le sous-traitant a-t-il déjà procédé à un audit de conformité relatif aux données personnelles exploitées dans le cadre des prestations confiées par le responsable de traitement ?
1.12. Une analyse de risque (Analyse d'impact définie dans le RGPD) a-t-elle été réalisée sur les prestations confiées du point de vue de la protection des DCP ?
1.13. Le sous-traitant a-t-il défini et formalisé les procédures de protection des données (Exercice du droit des personnes, violation de données, privacy by design / default, ...) ?

2. Ressources humaines

2.1. Le sous-traitant a-t-il défini et mis en œuvre un plan de sensibilisation des collaborateurs à la règlementation RGPD ?
2.2. Le sous-traitant a-t-il fait signer un engagement de confidentialité, éventuellement dans le contrat de travail, à ses collaborateurs ayant accès aux données confiées par ses clients ?
2.3. Le sous-traitant a-t-il mis en place une charte d'utilisation des ressources informatiques ?

3. Contrôle d'accès physique aux locaux

3.1. Le sous-traitant a-t-il pris les mesures techniques et organisationnelles appropriées, conformes à l'état de l'art permettant de contrôler l'accès à ses locaux ?

3.2. Sélectionnez les mesures prises pour contrôler l'accès aux locaux
3.3. Le sous-traitant a-t-il pris les mesures techniques et organisationnelles appropriées, conformes à l'état de l'art permettant de contrôler l'accès aux installations où les données à caractère personnelles sont traitées, notamment pour vérifier l'autorisation ?
3.4. Sélectionnez les mesures prises pour contrôler l'accès aux installations où les données à caractère personnelles sont traitées, notamment pour vérifier l'autorisation

4. Contrôle d'accès logique aux systèmes informatique

4.1. Le sous-traitant a-t-il pris les mesures techniques et organisationnelles d'identification et d'authentification de l'utilisateur pour limiter l'accès aux systèmes informatiques aux seules personnes concernées par l'exploitation des données personnelles pour la prestation confiée ?
4.2. Sélectionnez les mesures d'identification et d'authentification

5. Hébergement et stockage des données personnelles

5.1. Où sont hébergées les données confiées par le responsable de traitement ?
5.2. Identifiez le(s) hébergeur(s) chez qui les données confiées par le responsable de traitement sont stockées
5.3. Le(s) hébergeur(s) sont-ils certifié(s) ISO 27001 ?
5.4. Le sous-traitant est il certifié ISO 27001 ?
5.5. Le sous-traitant a-t-il défini et mis en place une politique interne de conservation des données conforme aux exigences du RGPD ?
5.6. Le sous-traitant procède-t-il à la suppression ou à la restitution des données à caractère personnel conformément aux instructions documentées reçues du Client ?
5.7. Sauf autorisation expresse prévue au contrat, les données confiées pour traitement par le Client au sous-traitant sont-elles hébergées et exploitées au sein de l'UE/EEE ou dans un pays adéquat ?
5.8. Comment sont encadrés les transferts de données hors UE/EEE ou vers un pays non adéquat ?
5.9. Quelles sont les mesures de protection des infrastructures informatiques ?

6. Sécurité des données

6.1. Le sous-traitant a-t-il mis en place une procédure de gestion des incidents de sécurité ?
6.2. Le sous-traitant prend-il des mesures pour empêcher la perte, l'altération ou la divulgation non autorisée lors du transfert électronique, du transport de données, du contrôle de transmission, de communication ou de stockage des données sur les supports de données (manuels ou électroniques), etc, et ainsi maîtriser les risques de divulgation non autorisés ?
6.3. Décrire les mesures en place
6.4. Le sous-traitant fait-il une évaluation régulière des mesures techniques et organisationnelles destinées à contrôler l'accès aux données à caractère personnelles (par exemple test de pénétration) ?
6.5. Le sous-traitant a-t-il un plan de continuité d'activité (PCA) avec réplication des données sur un site de secours ?
6.6. Le sous-traitant a-t-il mis en place un plan de sauvegarde ?

7. Conformité de mise en oeuvre des activités de traitement

7.1. Le sous-traitant a-t-il mis en place des mesures de vérification ultérieure de la saisie, de la modification ou de la suppression des données, et de la personne y ayant procédé (journalisation des accès et des reporting) ?
7.2. Le sous-traitant informe-t-il régulièrement son Client de la bonne exécution du Contrat pour les prestations qui lui sont confiées (conformité aux instructions documentées) ?
7.3. Le sous-traitant respecte-t-il les principes d'isolation des traitements pour des finalités différentes et a mis en place les dispositions appropriées ?

8. Sous-traitance ultérieure

8.1. Le recours à la sous-traitance ultérieure fait-elle partie du contrat avec le sous-traitant ?
8.2. Le contrat prévoit-il que le responsable de traitement valide le choix des sous-traitants ultérieurs ?
8.3. Les relations avec les sous-traitants ultérieurs font-elles l'objet d'un contrat avec le sous-traitant ?
8.4. Ces contrats prennent-ils en compte les exigences RGPD ?
8.5. Les transferts éventuels de données hors UE par les sous-traitants ultérieurs sont-ils encadrés par des clauses-type ou autres dispositions prévues par l'autorité de contrôle ?
8.6. Le sous-traitant s'est-il assuré que les sous-traitants ultérieurs ont pris les mesures organisationnelles et techniques permettant d'assurer des garanties suffisantes pour la protection des données à caractère personnel ?
Créé le:20/03/2021

Mis à jour le :30/07/2024

Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC AttributionPas d'utilisation commerciale

Auteur :
Dastro Naute
Dastro Naute

Nombre d'utilisations :2


Accédez à tous nos modèles d'audit

Essayez Dastra dès maintenant pour accéder à la totalité de nos modèles d'audit que vous pourrez adapter à votre organisation. C'est gratuit et sans engagement les 30 premiers jours (pas de carte bleue requise)

Utiliser ce modèle d'audit
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.