RGPD et gestion des risques liés aux tiers
Lerèglement général sur la protection des données(RGPD) est une loi sur la confidentialité qui régit l'utilisation, le transfert et la protection des données collectées sur les citoyens de l'Union européenne (UE). Le RGPD s'applique à toute organisation qui collecte, stocke, traite ou transfère des données à caractère personnel sur des personnes physiques en Europe, quel que soit le lieu où se trouve l'organisation. Le RGPD prévoit des sanctions pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial (le montant le plus élevé étant retenu), auxquelles s'ajoutent des dommages-intérêts compensatoires versés aux personnes concernées.
Étant donné que des tiers sont souvent chargés de gérer les données personnelles pour le compte de leurs clients, les organisations doivent veiller tout particulièrement à ce que ces fournisseurs et partenaires aient mis en place des contrôles et une gouvernance en matière de protection des données. Cela implique de réaliser des évaluations des contrôles de confidentialité des données, d'analyser les résultats afin d'identifier les risques potentiels et d'exiger des tiers qu'ils remédient à ces risques afin d'éviter tout risque réglementaire, financier et réputationnel.
En effet, le RGPD impose aux organisations de procéder à des évaluations des risques afin d'identifier les risques tant au sein de l'organisation qu'auprès de tout tiers ayant accès aux données à caractère personnel.Le considérant 76 – Évaluation des risquesstipule que « le risque devrait être évalué sur la base d'une appréciation objective, permettant de déterminer si les opérations de traitement de données comportent un risque ou un risque élevé ».
Exigences pertinentes
- Évaluations des risques liés à la confidentialité des données pour tous les tiers ayant accès à des données à caractère personnel
- Preuves documentées démontrant la conformité
- Surveillance continuedes risques critiques liés à la cybersécurité, aux activités commerciales, à la réputation et aux finances des tiers
- Capacités de piste d'audit
Respect des exigences du RGPD en matière de TPRM
Voici comment Prevalent peut vous aider à répondre aux exigences du RGPD en matière de gestion des risques liés aux tiers :
Exigences du RGPD
Comment nous aidons
Article 24 : Responsabilité du responsable du traitement
Paragraphe 1
Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, de probabilité et de gravité variables, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont révisées et mises à jour si nécessaire.
L'article 24 renvoie à deux considérants à titre indicatif :
Considérant 76 : Évaluation des risques
La probabilité et la gravité du risque pour les droits et libertés de la personne concernée devraient être déterminées en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait être évalué sur la base d'une appréciation objective, permettant de déterminer si les opérations de traitement de données comportent un risque ou un risque élevé.
Considérant 77 : Lignes directrices pour l'évaluation des risques
Orientations sur la mise en œuvre de mesures appropriées et sur la démonstration de la conformité par le responsable du traitement ou le sous-traitant, notamment en ce qui concerne l'identification des risques liés au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques pour atténuer les risques.
Lorsque des tiers sont utilisés en tant que « sous-traitants », c'est le responsable du traitement (propriétaire) qui est tenu de s'assurer que chaque tiers dispose des contrôles appropriés pour garantir la confidentialité et la sécurité des données à caractère personnel.
La plateforme de gestion des risques liés aux tiersde Prevalent automatise les évaluations des risques liés aux tiers. Elle fournit des questionnaires spécialement conçus pour le RGPD et évalue les risques en fonction de leur « probabilité et gravité », tout en facilitant la mise en conformité avec les directives du RGPD. Prevalent propose une bibliothèque de plus de 750 modèles d'évaluation standardisés, incluant le RGPD et d'autres normes réglementaires liées à la confidentialité, ainsi que des fonctionnalités de personnalisation et des workflows intégrés.
De plus,le service de validation des contrôlesde Prevalent examine les réponses et la documentation des évaluations tierces par rapport aux protocoles de test établis afin de vérifier que les contrôles indiqués sont bien en place.
Pour accélérer les évaluations,les réseaux Vendor Intelligence Networksde Prevalent donnent accès à des milliers d'évaluations complètes et vérifiées, qui sont continuellement mises à jour et fournissent des preuves à l'appui.
Article 25 : Protection des données dès la conception et par défaut
Paragraphe 1
… le responsable du traitement doit, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, mettre en œuvre les mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont conçues pour mettre en œuvre de manière efficace les principes de protection des données, tels que la minimisation des données, et pour intégrer les garanties nécessaires dans le traitement afin de satisfaire aux exigences du présent règlement et de protéger les droits des personnes concernées.
Considérant 78
Mesures techniques et organisationnelles appropriées
Afin de pouvoir démontrer la conformité au présent règlement, le responsable du traitement devrait adopter des politiques internes et mettre en œuvre des mesures qui répondent notamment aux principes de protection des données dès la conception et par défaut.
Prevalent apporte son expertise technique dans la conception de ses enquêtes et contrôles RGPD, garantissant ainsi que les détails de mise en œuvre requis ne soient pas négligés. Il aide les organisations à distinguer les systèmes correctement conçus des fonctionnalités de sécurité et de confidentialité « rajoutées » afin d'assurer une conformité totale.
Lorsque des tiers font appel à des quatrièmes ou cinquièmes parties pour les aider à traiter les données, Prevalent offre une visibilité grâce à une cartographie détaillée des relations et à des pistes d'audit des flux d'informations dans l'ensemble de l'écosystème des fournisseurs.
Article 28 : Sous-traitant
Paragraphe 1
Lorsque le traitement est effectué pour le compte d'un responsable du traitement, celui-ci ne fait appel qu'à des sous-traitants offrant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du présent règlement et assure la protection des droits de la personne concernée.
Prevalent offre aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une plateforme automatisée pour gérer le processus d'évaluation des risques liés aux tiers et déterminer la conformité aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données, y compris le RGPD. Elle fournit des workflows de remédiation bidirectionnels, des rapports en temps réel et un tableau de bord facile à utiliser pour plus d'efficacité. Grâce à des rapports clairs et des conseils de remédiation, la plateforme garantit que les risques sont identifiés et transmis aux canaux appropriés.
Article 28 : Sous-traitant
Paragraphe 3
Ce contrat ou autre acte juridique stipule notamment que le sous-traitant :
(f) assiste le responsable du traitement dans le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations dont dispose le sous-traitant
Prevalent fournit la seule plateforme unifiée spécialement conçue pour la gestion des risques liés aux tiers. La plateforme combine des évaluations automatisées des tiers et une surveillance continue des menaces afin de simplifier la conformité, de réduire les risques de sécurité et d'améliorer l'efficacité. Elle offre aux professionnels de la sécurité et de la conformité une vue à 360 degrés des risques liés aux sous-traitants, grâce à des rapports clairs et concis liés à des réglementations et des cadres de contrôle spécifiques, notamment le RGPD, pour une meilleure visibilité et une prise de décision plus efficace.
La plateforme Prevalent permet d'examiner les contrats, ce qui contribue à mettre en évidence les violations potentielles et à éclairer les négociations de renouvellement grâce à des évaluations contractuelles dédiées.
Article 28 : Sous-traitant
Paragraphe 3
Ce contrat ou autre acte juridique stipule notamment que le sous-traitant :
(h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et permet et contribue aux audits, y compris les inspections, effectués par le responsable du traitement ou un autre auditeur mandaté par celui-ci.
La plateforme de gestion des risques tiers Prevalent comprend des fonctions de reporting efficaces permettant de satisfaire aux exigences en matière d'audit et de conformité, ainsi que de présenter les conclusions au conseil d'administration et à la direction. L'ensemble du profil de risque peut être consulté dans une console de reporting centralisée en temps réel, et les rapports peuvent être téléchargés et exportés afin de déterminer le statut de conformité aux dispositions du RGPD. Les fonctionnalités avancées de reporting comprennent des filtres et des graphiques interactifs cliquables. La solution comprend un référentiel complet de tous les documents collectés et examinés au cours du processus de diligence raisonnable.
Le Vendor Threat Monitor(VTM) alerte les organisations en cas de changements défavorables dans les activités de tiers et déclenche des évaluations ciblées afin de traiter les risques immédiats. Les alertes précoces permettent de disposer de plus de temps pour réagir aux incidents, et les conseils de remédiation intégrés aident les organisations à protéger les données personnelles et à éviter les mesures réglementaires et les atteintes à leur réputation.
Article 32 : Sécurité du traitement
Paragraphe 1
Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :
(b) la capacité à garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
(d) un processus permettant de tester, d'évaluer et d'analyser régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
Considérant 76 : Évaluation des risques
La probabilité et la gravité du risque pour les droits et libertés de la personne concernée devraient être déterminées en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait être évalué sur la base d'une appréciation objective, permettant de déterminer si les opérations de traitement de données comportent un risque ou un risque élevé.
Prevalent offre aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une plateforme automatisée pour gérer le processus d'évaluation des risques liés aux tiers et déterminer la conformité continue aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données, y compris le RGPD. Elle utilise des questionnaires standard et personnalisés pour aider à recueillir des preuves et fournit des workflows de remédiation bidirectionnels, des rapports en temps réel et un tableau de bord facile à utiliser pour plus d'efficacité. Grâce à des rapports clairs et des conseils de remédiation, la plateforme garantit que les risques sont identifiés et transmis aux canaux appropriés.
Article 35 : Évaluation de l'impact sur la protection des données
Paragraphe 1
Lorsqu'un type de traitement, en particulier celui qui utilise de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement procède, avant le traitement, à une évaluation de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule évaluation peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires.
Paragraphe 7
L'évaluation doit contenir au moins :
1) une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;
2) une évaluation de la nécessité et de la proportionnalité des opérations de traitement par rapport aux finalités ;
3) une évaluation des risques pour les droits et libertés des personnes concernées visées au paragraphe 1 ; et
4) les mesures envisagées pour faire face aux risques, y compris les garanties, les mesures de sécurité et les mécanismes visant à assurer la protection des données à caractère personnel et à démontrer la conformité au présent règlement, en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes concernées.
Avec Prevalent, vous pouvez réaliser des évaluations d'impact sur la confidentialité afin d'identifier les données commerciales et les informations personnelles identifiables (PII) à risque. Analysez l'origine, la nature et la gravité des risques et obtenez des conseils pour y remédier.
Pour les organisations qui ont besoin de ressources supplémentaires, les expertsdes services d'évaluation des risques fournisseursde Prevalent peuvent prendre en charge toutes les étapes, de la collecte et l'analyse des risques à la gestion des rapports et des mesures correctives.
Article 45 : Transferts sur la base d'une décision d'adéquation
Paragraphe 1
Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a décidé que le pays tiers, un territoire ou un ou plusieurs secteurs spécifiques de ce pays tiers, ou l'organisation internationale en question, assure un niveau de protection adéquat.
Paragraphe 2
Ce transfert ne nécessite aucune autorisation spécifique. Lorsqu'elle évalue le niveau de protection adéquat, la Commission tient compte notamment des éléments suivants :
• l'État de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, notamment en matière de sécurité publique, de défense, de sécurité nationale et de droit pénal, ainsi que l'accès des autorités publiques aux données à caractère personnel.
Prevalent soutient la conformitéaux normes environnementales, sociales et de gouvernance(ESG) grâce à des fonctionnalités permettant d'évaluer des tiers sur un certain nombre de thèmes ESG et de corréler les résultats avec une surveillance externe continue des pratiques des fournisseurs. Cela inclut la gestion de l'environnement, la diversité et l'inclusion, les droits de l'homme (par exemple, la lutte contre l'esclavage), les normes du travail, les stratégies financières et fiscales, ainsi que la transparence opérationnelle globale.
De plus, Prevalent inclut la surveillance des notifications d'incidents de violation, qui donne accès à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde. Cela comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs afin de vous aider à déterminer la posture des entreprises auxquelles vous envisagez de transférer des données.
