RGPD : ne pas omettre la mise en conformité des partenaires !

Le RGPD (ou GDPR en anglais), nouveau règlement européen pour la protection des données personnelles arrive à grands pas et les entreprises commencent progressivement à s’intéresser au sujet, étudiant les fondamentaux pour réussir leur mise en conformité dans les délais impartis. Au-delà de la démarche personnelle de l’entreprise,  un des points à ne pas négliger est l’évaluation de l’écosystème de partenaires impliqués dans la chaine de traitement des données : en effet, s’assurer d’établir des relations business basées sur les même éthiques, standards et gestion des risques, relatives à la protection des données à caractère personnel est plus que primordial.

Dans un contexte de Cloud par exemple, la sécurité n’est plus uniquement du ressort de l’organisation : elle est partagée avec le fournisseur de service Cloud (CSP). L’entreprise n’ayant pas  de visibilité exhaustive sur la sécurité de ses données, elle a donc besoin de bien comprendre la façon dont le Cloud va affecter son profil de risque, les questions de vie privée et la disponibilité de ses activités.  La garantie des politiques de sécurité dépend donc de la relation avec le CSP et des contrats de services associés au sein d’une véritable démarche de responsabilité de sécurité partagée.

Pour rappel, l’article 28 du règlement européen stipule que “lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée”. Et ici le terme “sous-traitant” peut englober l’ensemble de la chaine des prestataires de services, les hébergeurs, les CSP, … qui devront également montrer patte blanche vis-à-vis de leur conformité RGPD.  

Et qu’en est-il dans le cas d’une fuite de données chez les prestataire de services ? Doit-il également en notifier l’autorité compétente ? La réponse est oui ! Il devra en tout cas faire preuve de transparence en apportant les éléments de notification de violation au responsable du traitement qui devra ensuite en notifier l’autorité compétente par lui-même.

Alors d’ici le 28 mai 2018, si le traitement de vos données personnelles est conforme au RGPD, dans tous les cas, vos sous-traitants et partenaires traitant de données qu’ils ne possèdent pas, devront également avoir pris les bonnes mesures organisationnelles et sécuritaires et le stipuler clairement dans leurs contrats de services.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *