Javascript is required
logo-dastralogo-dastra

Modèle d'auditSous-traitant RGPD (simple)

RGPDSous-traitant
Auto-évaluation des dispositions mise en oeuvre pour répondre aux exigences RGPD. Version 1.0

1. Généralités

1. Politique de conformité au RGPD

1.1. Le sous-traitant a formalisé une Politique de Protection des Données Personnelles
1.2. Le sous-traitant a désigné un DPO
1.3. Le sous-traitant tient un registre de traitement pour les prestations confiées
1.4. Le sous-traitant a défini et met en oeuvre un plan de sensibilisation des collaborateurs à la règlementation RGPD
1.5. Le sous-traitant a déjà procédé à un audit de conformité relatif aux données personnelles exploitées dans le cadre des prestations confiées
1.6. Une analyse de risque a été réalisée sur les prestations confiées du point de vue de la protection des DCP
1.7. Le sous-traitant a défini et formalisé les procédures de protection des données : exercice du droit des personnes, violation de données, privacy by design / default, ...

2. Documentation

2.1. Quels documents et/ou certificats disposent le sous-traitant qui peuvent prouver ou expliquer les mesures mises en oeuvre (le cas échéant)

2. Sécurité

1. Accès aux locaux, aux installations et aux systèmes informatiques

1.1. Le sous-traitant a pris les mesures techniques et organisationnelles appropriées, conformes à l'état de l'art permettant de contrôler l'accès aux locaux et aux installations où les données à caractère personnelles sont traitées, notamment pour vérifier l'autorisation.

1.2. Le sous-traitant a pris les mesures techniques et organisationnelles d'identification et d'authentification de l'utilisateur pour limiter l'accès aux systèmes informatiques aux seules personnes concernées par l'exploitation des données personnelles pour la prestation confiée
1.3. Le sous-traitant a pris les mesures appropriées pour contrôler la gestion des accès sur les plateformes / outils logiciels dédiés
1.4. Le sous-traitant fait une évaluation régulière des mesures techniques et organisationnelles destinées à contrôler l'accès aux données à caractère personnelles (par exemple test de pénétration)
1.5. Le sous-traitant a mis en place une procédure de gestion des incidents de sécurité
1.6. Le sous-traitant prend des mesures pour empêcher la perte, l'altération ou la divulgation non autorisée lors du transfert électronique, du transport de données, du contrôle de transmission, de communication ou de stockage des données sur les supports de données (manuels ou électroniques), etc, et ainsi maîtriser les risques de divulgation non autorisés

2. Hébergement et stockage des données personnelles

2.1. Le sous-traitant a pris les mesures appropriées pour se protéger contre la destruction ou la perte accidentelle de données à caractère personnel (principe de disponibilité)
2.2. Le sous-traitant procède à la suppression ou à la restitution des données à caractère personnel conformément aux instructions documentées reçues du Client. A défaut, il a défini et mis en place une politique interne de conservation des données conforme aux exigences du RGPD
2.3. Sauf autorisation expresse prévue au contrat, les données confiées pour traitement par le Client au sous-traitant sont hébergées et exploitées au sein de l'UE

3. Contrat

1. Contrat de sous-traitance

1.1. Avez-vous passé un contrat avec votre sous-traitant ?

Les relations entre un responsable de traitement et un sous-traitant doivent être encadrées par un contrat conformément à l'article 28 du RPGD.

1.2. Ce contrat comprend il une partie relative à la protection des données personnelles ?

2. Conformité de mise en oeuvre des activités de traitement

2.1. Le sous-traitant a mis en place des mesures de vérification ultérieure de la saisie, de la modification ou de la suppression des données, et de la personne y ayant procédé (journalisation des accès et des reporting)
2.2. Le sous-traitant informe régulièrement son Client de la bonne exécution du Contrat pour les prestations qui lui sont confiées (conformité aux instructions documentées)
2.3. Le sous-traitant respecte les principes d'isolation des traitements pour des finalités différentes et a mis en place les dispositions appropriées
2.4. Le sous-traitant a mis en place les mesures permettant le traitement séparé (stockage, modification, suppression, transmission) des données à différentes fins

3. Sous-traitance ultérieure

3.1. Les relations avec les sous-traitants ultérieurs ont fait l'objet d'un contrat.
3.2. Si oui, ces contrats prennent en compte les exigences RGPD
3.3. Les transferts éventuels de données hors UE sont encadrés par des clauses-type ou autres garanties prévues par le RGPD
3.4. Le sous-traitant s'est assuré que les sous-traitants ultérieurs ont pris les mesures organisationnelles et techniques permettant d'assurer des garanties suffisantes pour la protection des données à caractère personnel
Créé le:02/01/2021

Mis à jour le :30/07/2024

Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC AttributionPas d'utilisation commerciale

Auteur :
Dastro Naute
Dastro Naute

Nombre d'utilisations :13


Accédez à tous nos modèles d'audit

Essayez Dastra dès maintenant pour accéder à la totalité de nos modèles d'audit que vous pourrez adapter à votre organisation. C'est gratuit et sans engagement les 30 premiers jours (pas de carte bleue requise)

Utiliser ce modèle d'audit
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.