Mise en Conformité RGPD d'une CAE

Bonjour,

Nous faisons un point sur notre Mise en Conformité RGPD au sein de notre CAE.
Les différents acteurs au niveau de la Structure (Responsable du Traitement, DPO, Référents SI et Métiers) sont bien identifiés.

Les membres de la CAE, sur leur activité, agissent en tant que Sous-Traitants vis-à-vis de leurs clients.
Cependant, en tant qu’indépendants, ont-ils aussi une responsabilité/un rôle de Responsable du Traitement au niveau de leur activité ?
Sont-ils « autonomes » (dans le sens où les membres se « débrouillent » pour se mettre en conformité), ou la Structure a la responsabilité de s’assurer que chacun de ses membres se mettent en conformité ?
Comment juridiquement tout cela est-il encadré (je n’ai rien trouvé sur le sujet sur le site de la CNIL) ?

Ce point est assez important chez nous car nos membres sont amenés à développer des applicatifs qui peuvent traiter de grands volumes de données à caractère personnel.

Je suis preneur de vos avis et de la façon dont vous avez géré ce sujet de votre côté,
Cordialement,
Renaud

6 « J'aime »

Bonjour Renaud ! A Oxalis, nous avons commencé à attrapper le sujet.
Nous sommes moins avancé que vous sur la mise en conformité de la structure.
Je suis dans la brigade RGPD en cours de formation, et on a créé un kit de sensibilisation pour les entrepreneurs (qui ne sont globalement pas des gens de l’informatique pour le coup). Si tu souhaites en discuter, je te conseille de me contacter (tu peux prendre RDV sur mon site) ou Christophe Bellec qui est en charge du sujet chez nous.
Bonne journée !

2 « J'aime »

Bonsoir Margot,

Merci pour ton retour, je prends RDV sur ton site.

Pour la sensibilisation nous l’avons aussi mise en place à Astrolabe mais ce sera intéressant de comparer nos approches et supports.

Bonne soirée !

1 « J'aime »

@margotnadot Bonjour, est-ce que ça serait OK côté oxalis de publier ce guide ?

Par ailleurs je découvre l’existence de la notion de « code de conduite » au sein du RGPD. C’est porté par une fédération d’un secteur d’activité (ça pourrait être la fédé), et ça donne une interprétation/validation de l’application du RGPD sous forme notamment de guide pratiques (par ex sur les types de données, les délais de conservation… etc). C’est in-fine validé par la CNIL.

Ça pourrait être un outil intéressant de sécurisation / facilitation de la mise en confomité des CAE qui partagent (côté structure/accomp en tout cas) des problématiques similiaires.

1 « J'aime »