Cela fait un peu plus d'un an que le règlement général sur la protection des données (RGPD) de l'UE est entré en vigueur. Depuis lors, de nombreuses organisations ont recherché des outils miracles pour déterminer si leurs écosystèmes tiers protègent suffisamment leurs données, et donc leur marque et leurs bénéfices. Cependant, de nombreux responsables de la conformité et des risques ont rencontré des « pièges » qui révèlent que les outils de gestion des risques tiers de base ne suffisent pas lorsqu'il s'agit du RGPD.
Quel est le problème avec les balles en argent ?
Chaque organisation doit identifier les contrôles les plus importants pour protéger ses données. Cependant, une fois que les données ont quitté votre environnement, vous dépendez des contrôles mis en place par ceux qui traitent ou gèrent vos données. Malheureusement, de nombreuses organisations ne disposent pas de l'expertise interne ou des fonds nécessaires pour mettre en place une gestion efficace des risques liés aux tiers (TPRM) et font le strict minimum pour évaluer la conformité des fournisseurs au RGPD.
Dans leur quête pour éviter le contrôle des auditeurs et échapper aux sanctions prévues par le RGPD, de nombreux services chargés de la protection de la vie privée se contentent d'exiger des tiers qu'ils signent des lettres d'attestation RGPD, laissant à leurs fournisseurs la responsabilité de déchiffrer et de respecter le mandat. D'autres organisations se tournent vers des outils de classement et de notation des risques des fournisseurs pour « cocher » les exigences réglementaires. Cependant, la plupart des outils de notation et d'évaluation sont à courte vue, ne fournissent pas de données significatives et peuvent inciter à prendre des décisions basées sur ce qui est disponible plutôt que sur ce qui est réalisable.
Si votre programme TPRM se limite à des lettres d'attestation ou à des outils d'évaluation et de notation « externes », vous risquez d'être victime des quatre pièges du RGPD...
Mais tout d'abord, rappelons les principaux éléments du RGPD.
Avant d'aborder les pièges, rappelons-nous les principaux éléments du RGPD afin de replacer le contexte :
- Droits des personnes –Droit à l'information et droit à l'oubli.
- Droit à l'information –Le droit des personnes de savoir qui collecte leurs données personnelles et à quelles fins elles sont utilisées.
- Droit à l'oubli –Droit des personnes à demander la suppression de leurs données personnelles.
- Délégué à la protection des données (DPO)– Nomination d'un DPO pour contrôler la conformité des organisations agissant en tant que sous-traitants ou responsables du traitement.
- Obligations des sous-traitants –Plan de préparation pour mai 2018 visant à traiter la responsabilité des sous-traitants en matière de mesures techniques et organisationnelles visant à sécuriser les données à caractère personnel lors des activités de traitement.
- Évaluation de l'impact sur la protection des données et réponse en cas de violation des données –Obligation pour le responsable du traitement de signaler toute violation des données à caractère personnel dans un délai de 72 heures.
Les quatre pièges du RGPD
Voici donc les « quatre pièges » auxquels de nombreuses organisations ne s'attendaient pas lorsqu'elles ont planifié leur mise en conformité avec le RGPD, ainsi que les moyens de les éviter :
1 : La gestion des fournisseurs n'est qu'un élément parmi d'autres du RGPD.
Pour vous assurer que votre programme de gestion des risques liés aux tiers couvre l'ensemble du RGPD, vérifiez que vos mesures de diligence raisonnable et vos plans d'action sont conformes à l'ensemble du mandat. La gestion des fournisseurs n'est qu'une partie du problème. Utilisez le questionnaire RGPD de Prevalent, basé sur les normes d'évaluation partagées, pour déterminer le niveau de préparation des tiers à tous les aspects du RGPD. Demander aux tiers de signer des lettres d'attestation est une solution rapide, mais il vous incombe de contrôler leur conformité et d'approfondir la question lorsque leurs contrôles sont jugés insuffisants (ou inexistants).
2 : Les petits fournisseurs échappent souvent aux efforts déployés dans le cadre du RGPD.
La plupart des organisations ont identifié les grands fournisseurs évidents, tels que les hébergeurs, mais le RGPD peut avoir un impact sur toutes les catégories de fournisseurs. Utilisez la plateforme de gestion des risques liés aux tiers de Prevalent pour mieux classer et appliquer une diligence raisonnable appropriée à tous les niveaux de fournisseurs. La diligence raisonnable des hébergeurs est un bon début, mais elle ne vous permettra pas de gérer l'ensemble de vos fournisseurs. Prevalent vous permet d'adapter la collecte de contenu au RGPD et fournit des registres de risques afin d'informer votre délégué à la protection des données (DPD) des mesures nécessaires pour gérer la conformité au RGPD des tiers.
3 : Les amendes et sanctions prévues par le RGPD sont réelles pour tout le monde.
Vous avez sans doute entendu parler des lourdes amendes infligées à Facebook et Uber pour non-respect du RGPD, mais aucun secteur n'est à l'abri. Des organismes de santé, des institutions financières et des enseignes de distribution ont également été sanctionnés. La solution Prevalent évalue le niveau de conformité au RGPD non seulement de votre organisation, mais aussi de vos filiales, sociétés affiliées et partenaires. Le registre des risques Prevalent évalue le niveau de conformité au RGPD à tous les niveaux de la chaîne de valeur afin de réduire votre exposition au risque d'amendes.
4 : Les sous-traitants sont également passibles d'amendes.
Des installateurs de vidéosurveillance aux services informatiques traitant les informations des patients, le RGPD impose des obligations réglementaires à tous les tiers de votre écosystème. Avec Prevalent, vous pouvez facilement classer toutes les entités et générer des diagrammes en araignée qui révèlent l'étendue de vos flux de données et illustrent l'ampleur de l'application des contrôles RGPD.
Une image plus complète et plus précise des risques liés aux tiers et de la conformité
C'est à vous qu'il revient d'approfondir et d'étendre vos évaluations des risques liés aux tiers afin de combler les lacunes qui pourraient entraîner des amendes ou des sanctions réglementaires préjudiciables. Je viens de vous donner quelques exemples illustrant comment la plateforme unifiée de gestion des risques liés aux tiers de Prevalent peut vous aider à éviter certains des pièges du RGPD. En résumé :
- Interrogez les tiers sur leurs contrôles de confidentialité (je sais, c'est choquant) à l'aide d'évaluations approfondies.
- VALIDATE les évaluations grâce à une surveillance intégrée des menaces externes pour obtenir une vision plus globale et plus précise des risques et de la conformité au RGPD.
- SCALE avec des réseaux de partage de preuves d'évaluations de fournisseurs déjà réalisées pour comprendre rapidement le profil de risque de vos tiers.
Découvrez comment Prevalent peut vous aider à simplifier le processus d'évaluation, de validation et de correction des risques liés aux tiers, tout en respectant le RGPD et les autres obligations de conformité : demandez une démonstration dès aujourd'hui.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
