GDPR/RGPD : Et vous, comment évaluez-vous la conformité de vos fournisseurs ?

On y arrive. Les nouveaux appels d’offres intègrent des annexes RGPD.

Extrait d’une annexe d’un appel d’offre récent : « Le Titulaire met à la disposition du [Responsable de Traitement] la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par [le Responsable de Traitement] ou un autre auditeur qu’il a mandaté, et contribuer à ces audits […] ».
Il y est aussi question d’avoir un registre à jour, d’assurer la confidentialité des données, d’avoir un Data Protection Officer (DPO), etc.
Le sous-traitant s’engage donc contractuellement. Parfait. Mais est-ce que cela est suffisant ?

Pour enfoncer une porte ouverte, c’est le minimum puisqu’il s’agit tout simplement de respecter la loi. Cela permet aussi de fixer quelques principes de partage de charge en cas d’intervention des autorités (CNIL).

En revanche, en se limitant à une annexe contractuelle, purement déclarative, on ne sait pas où en est le sous-traitant dans sa maturité et sa conformité RGPD. Pourtant, quelques indices pourraient donner une première évaluation.

Quelques exemples :

– Avez-vous un DPO autonome disposant des qualifications professionnelles adéquates ?
– Avez-vous sensibilisé tous vos collaborateurs qui manipulent des données personnelles ?
– Hébergez-vous des données personnelles en dehors de l’Union Européenne ? Si c’est aux Etats-Unis, avez-vous vérifié si votre prestataire est bien sur la liste des entreprises du Privacy Shield ?
– Fournir le descriptif du traitement de la relation client B2B
– Avez-vous un Responsable de la Sécurité des Systèmes d’Information (RSSI) ou équivalent ?
– …

A chaque question, il convient de fournir une preuve. On se rapproche de ce que certaines entreprises effectuent quand elles évaluent la conformité cybersécurité de leurs partenaires. De proche en proche, on constitue ainsi une appréciation de l’engagement du sous-traitant dans la protection des données personnelles, via un Plan d’Assurance Conformité, cousin du Plan d’Assurance Sécurité.

Il est clair que cela peut prendre du temps mais des outils existent pour fluidifier le process. Et, comme le rappelle cette annexe RGPD, il faut «  prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ». Ce principe de Privacy by Design devraient se généraliser ; les donneurs d’ordre intégrant ainsi l’évaluation des pratiques de leurs futurs sous-traitants dès la phase de consultation, avec les achats.

Pour aller plus loin sur le RGPD :
Comment évaluer mon niveau de conformité avec le RGPD ?
BookMyData, solution de pilotage de la conformité RGPD

Maîtriser les risques de l’infogérance, Externalisation des Systèmes d’Information, ANSSI

Je partage

Derniers articles

miniature article interet legitime europe

La notion d’intérêt légitime au cœur d’un débat européen

En 2020, l’Autorité de Protection néerlandaise a sanctionné une société de diffusion de matchs de football pour violation des règles de protection des données personnelles. Cette décision a provoqué un débat européen autour de la notion d’intérêt légitime. Alice Picard, notre juriste consultante Protection des Données, revient dans le détail sur les ressorts de ce débat.

Lire l'article
edito digitemis par ludovic de carcouet avril 2022

L’édito de Digitemis, par Ludovic de Carcouët (juin 2022)

Cyber humanum est : l’édito de Ludovic de Carcouët, CEO de Digitemis (juin 2022). L’édition 2022 du Forum International de la Cybersécurité (FIC) qui s’est déroulée à Lille la semaine dernière a montré que le facteur humain demeure le socle d’une politique cyber efficace et ambitieuse. L’humain reste le meilleur garant de la solidité et de la continuité d’un écosystème grâce à son savoir-faire, à sa réflexion, à ses compétences, à sa capacité d‘innovation et de réponse aux problématiques technologiques qui se posent. Il est le plus à même de réguler son rapport à la machine et de doser son usage.

Lire l'article