Adopté initialement en mai 2018, le règlement général sur la protection des données (RGPD) est une loi sur la confidentialité qui régit l'utilisation, le transfert et la protection des données collectées sur les citoyens de l'Union européenne (UE). Le RGPD s'applique à toute organisation qui collecte, stocke, traite ou transfère des données à caractère personnel sur des personnes physiques en Europe, quel que soit le lieu où elle est implantée.
Pourquoi la gestion des risques liés aux tiers est importante dans le cadre du RGPD
Étant donné que des tiers sont souvent chargés de gérer les données personnelles pour le compte de leurs clients, les organisations doivent veiller tout particulièrement à ce que ces fournisseurs et partenaires aient mis en place des contrôles et une gouvernance en matière de protection des données. Cela implique de réaliser des évaluations des contrôles de confidentialité des données, d'analyser les résultats afin d'identifier les risques potentiels et d'exiger des tiers qu'ils remédient à ces risques afin d'éviter tout risque réglementaire, financier et réputationnel.
L'UE applique rigoureusement le RGPD, avec plusieurs sanctions notables infligées aux entreprises ayant commis des manquements vis-à-vis de tiers, notamment :
- L'autorité de régulation luxembourgeoise a infligé une amende de 746 millions d'euros à Amazon pour violation du RGPD, affirmant que le système publicitaire d'Amazon n'était pas fondé sur le « libre consentement ».
- Début 2021, l'autorité française chargée de la protection des données a infligé une amende de 150 000 euros à un responsable du traitement des données dont le nom n'a pas été divulgué et une amende de 75 000 euros à son sous-traitant pour ne pas avoir mis en œuvre les mesures de sécurité adéquates.
- L'autorité chargée de la protection des données de Hambourg, en Allemagne, a infligé une amende de plus de 35 millions d'euros au détaillant de vêtements H&M pour avoir exercé une«surveillance excessive de plusieurs centaines d'employés ».
- Google a été condamné à une amende de 50 millions d'euros par les autorités françaises chargées de la protection des données pour « manque de transparence, informations insuffisantes et absence de consentement valable concernant la personnalisation des publicités ».
- En 2018, le bureau du commissaire à l'information du Royaume-Uni a infligé une amende de 20 millions de livres sterling à British Airways pour ne pas avoir protégé les données personnelles et financières
de 400 000 clients.
Cet article résume les raisons pour lesquelles les organisations devraient se soucier du RGPD et explique comment elles peuvent évaluer leurs processus internes et leurs relations avec des tiers par rapport aux exigences du RGPD.
Les évaluations des risques liés aux tiers sont obligatoires en vertu du RGPD
Afin de se protéger contre les risques, le RGPD impose aux organisations de réaliser des évaluations des risques afin d'identifier les risques tant au sein de l'organisation qu'auprès de tout tiers ayant accès à des données à caractère personnel. Le considérant 76
– Évaluation des risques – stipule que «le risque doit être évalué sur la base d'une appréciation objective, qui permet de déterminer si les opérations de traitement de données comportent un risque ou un risque élevé ».
Les organisations soumises à la réglementation RGPD doivent s'assurer qu'elles-mêmes et leurs tiers protègent la confidentialité de toutes les informations personnelles collectées et/ou traitées. Cela implique de procéder à une évaluation approfondie des risques présentés par chaque tiers et de veiller à ce que des contrôles appropriés soient mis en place pour atténuer ces risques.
Liste de contrôle : exigences du RGPD pour l'évaluation des contrôles des sous-traitants
Le RGPD comprend deux parties : 99 articles et 173 considérants. Les articles décrivent les exigences légales que les organisations doivent respecter pour démontrer leur conformité. Les considérants fournissent un contexte complémentaire aux articles. Le tableau ci-dessous résume les articles et les considérants pertinents pour l'évaluation des risques liés aux tiers et les recommandations. Pour obtenir une liste complète des exigences du RGPD, téléchargez la liste de contrôle de conformité.
| Exigences du RGPD | Ce que cela signifie |
|---|---|
| Article 24 : Responsabilité du responsable du traitement
Paragraphe 1 Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, de probabilité et de gravité variables, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont révisées et mises à jour si nécessaire. L'article 24 renvoie à deux considérants à titre indicatif : Considérant 76 : Évaluation des risques La probabilité et la gravité du risque pour les droits et libertés de la personne concernée devraient être déterminées en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait être évalué sur la base d'une appréciation objective, permettant de déterminer si les opérations de traitement de données comportent un risque ou un risque élevé. Considérant 77 : Lignes directrices pour l'évaluation des risques Orientations sur la mise en œuvre de mesures appropriées et sur la démonstration de la conformité par le responsable du traitement ou le sous-traitant, notamment en ce qui concerne l'identification des risques liés au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques pour atténuer les risques. |
Lorsque des tiers sont utilisés en tant que « sous-traitants », c'est le responsable du traitement (propriétaire) qui est tenu de s'assurer que chaque tiers dispose des contrôles appropriés pour garantir la confidentialité et la sécurité des données à caractère personnel.
Tenter de réaliser des évaluations par des tiers à l'aide de questionnaires manuels et de feuilles de calcul n'est ni cohérent ni évolutif. En cas d'audit, il peut être difficile de « démontrer que le traitement est effectué conformément » au RGPD. Les évaluations manuelles peuvent entraîner des exigences manquées et des réponses incomplètes ou de mauvaise qualité. Pour satisfaire aux exigences du RGPD, les évaluations doivent être objectives et la notation cohérente. |
| Article 25 : Protection des données dès la conception et par défaut
Paragraphe 1 … le responsable du traitement doit, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, mettre en œuvre les mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont conçues pour mettre en œuvre de manière efficace les principes de protection des données, tels que la minimisation des données, et pour intégrer les garanties nécessaires dans le traitement afin de satisfaire aux exigences du présent règlement et de protéger les droits des personnes concernées. Considérant 78 Mesures techniques et organisationnelles appropriées |
La conformité au RGPD nécessite une compréhension technique approfondie du traitement des données, de la gouvernance des données et des contrôles. Alors que la plupart des enquêtes d'évaluation des risques se concentrent sur les contrôles et les politiques généraux, le RGPD exige un traitement spécial des informations personnelles, notamment la pseudonymisation, la minimisation des données et (conformément au considérant 78) la protection des données « dès la conception et par défaut ». |
| Article 28 : Sous-traitant
Paragraphe 1 Lorsque le traitement est effectué pour le compte d'un responsable du traitement, celui-ci ne fait appel qu'à des sous-traitants offrant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du présent règlement et assure la protection des droits de la personne concernée. |
Les organisations travaillent souvent avec des dizaines de tiers ayant accès à des informations personnelles couvertes par le RGPD. Il s'agit par exemple de partenaires publicitaires, de sous-traitants (y compris les applications cloud) et de fournisseurs d'hébergement cloud.
La conformité au RGPD nécessite plus que de simples accords avec les fournisseurs. Elle exige de comprendre comment les données sont utilisées, comment elles circulent, et de disposer de preuves de contrôles spécifiques visant à protéger les données à caractère personnel. |
| Article 28 : Sous-traitant
Paragraphe 3 Ce contrat ou autre acte juridique stipule notamment que le sous-traitant : (f) assiste le responsable du traitement dans le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations dont dispose le sous-traitant |
Les articles 32 à 36 définissent les exigences relatives à l'analyse d'impact sur la protection des données ainsi qu'au contrôle continu des sous-traitants de données critiques (tiers). Chaque relation avec un sous-traitant « est régie par un contrat ou un autre acte juridique » qui oblige le sous-traitant à protéger les informations à caractère personnel. L'analyse des risques requise vise à identifier les risques pesant sur les informations à caractère personnel et à garantir que le sous-traitant a mis en place des contrôles adéquats. |
| Article 28 : Sous-traitant
Paragraphe 3 Ce contrat ou autre acte juridique stipule notamment que le sous-traitant : (h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et permet et contribue aux audits, y compris les inspections, effectués par le responsable du traitement ou un autre auditeur mandaté par celui-ci. |
Veillez à conserver un répertoire complet de tous les documents collectés et examinés au cours du processus de diligence raisonnable. |
| Article 32 : Sécurité du traitement
Paragraphe 1 Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment : (b) la capacité à garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ; (d) un processus permettant de tester, d'évaluer et d'analyser régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement. Considérant 76 : Évaluation des risques La probabilité et la gravité du risque pour les droits et libertés de la personne concernée devraient être déterminées en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait être évalué sur la base d'une appréciation objective, permettant de déterminer si les opérations de traitement de données comportent un risque ou un risque élevé. |
Alors que les évaluations sont souvent considérées comme un exercice ponctuel, le RGPD et d'autres normes réglementaires exigent une conformité continue. La gestion d'un seul contrôle de conformité peut s'avérer difficile à l'aide de processus manuels. Il est encore plus difficile de savoir quand les circonstances justifient une mise à jour périodique auprès de dizaines ou de centaines de tiers à travers le monde. |
| Article 35 : Évaluation de l'impact sur la protection des données
Paragraphe 1 Lorsqu'un type de traitement, en particulier celui qui utilise de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement procède, avant le traitement, à une évaluation de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule évaluation peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires. Paragraphe 7 L'évaluation doit contenir au moins : 1) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ; 2) une évaluation de la nécessité et de la proportionnalité des opérations de traitement par rapport aux finalités ; 3) une évaluation des risques pour les droits et libertés des personnes concernées visées au paragraphe 1 ; et 4) les mesures envisagées pour faire face aux risques, y compris les garanties, les mesures de sécurité et les mécanismes visant à assurer la protection des données à caractère personnel et à démontrer la conformité au présent règlement, en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes concernées. |
La technologie évolue chaque jour et les nouvelles offres de services peuvent apporter une valeur ajoutée à l'entreprise. Le RGPD stipule clairement qu'avant d'adopter de nouvelles méthodes de traitement des données à caractère personnel, les organisations doivent évaluer l'impact de ces opérations sur les données. |
| Article 45 : Transferts sur la base d'une décision d'adéquation
Paragraphe 1 Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a décidé que le pays tiers, un territoire ou un ou plusieurs secteurs spécifiques de ce pays tiers, ou l'organisation internationale en question, assure un niveau de protection adéquat. Paragraphe 2 Ce transfert ne nécessite aucune autorisation spécifique. Lorsqu'elle évalue le niveau de protection adéquat, la Commission tient compte notamment des éléments suivants : • l'État de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, notamment en matière de sécurité publique, de défense, de sécurité nationale et de droit pénal, ainsi que l'accès des autorités publiques aux données à caractère personnel. |
De plus en plus, les conseils d'administration, les investisseurs et les clients veulent s'assurer que les organisations, leurs partenaires et leurs fournisseurs partagent des valeurs et des engagements communs. Le RGPD reprend cette idée dans son article 45, qui exige que les droits de l'homme et l'État de droit soient pris en compte lors du transfert d'informations personnelles. |
Comment Prevalent aide à répondre aux exigences du RGPD en matière de risques liés aux tiers
La plateforme de gestion des risques tiers Prevalent comprend des fonctionnalités intégrées permettant d'évaluer les risques internes et externes liés aux données des consommateurs, d'automatiser la correction des problèmes détectés et de rendre compte des progrès réalisés aux autorités réglementaires. Prevalent :
- Propose un questionnaire spécifique au RGPD sur la plateforme, interrogeant le fournisseur sur les mesures techniques et organisationnelles qu'il met en œuvre pour protéger les droits des personnes concernées, conformément à l'article 28, paragraphe 1.
- Fournit aux responsables du traitement des données une vue à 360 degrés des risques liés aux sous-traitants grâce à des rapports clairs et concis sur les défaillances des contrôles, accompagnés de recommandations de mesures correctives conformément à l'article 28, paragraphe 3.
- Centralise le profil de risque d'un sous-traitant, permettant ainsi un audit approfondi des processus imposés par le responsable du traitement conformément à l'article 28, paragraphe 3.
- Fournit des évaluations périodiques ou secondaires continues afin de surveiller en permanence les mesures techniques et organisationnelles mises en place par le sous-traitant afin de garantir un niveau de sécurité adapté au risque, par exemple en testant, évaluant et analysant régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement conformément à l'article 32, paragraphe 1.
Pour plus d'informations sur la manière dont Prevalent peut aider les organisations à évaluer leurs contrôles de protection des données tierces afin de se conformer aux exigences du RGPD, consultez la liste de contrôle de conformité RGPD pour les tiers ou demandez une démonstration dès aujourd'hui. Pour découvrir comment la gestion des risques tiers s'applique à plus de 20 autres réglementations, téléchargez le manuel de conformité en matière de gestion des risques tiers.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
