[Étape 9 du RGPD] Comment mener des évaluations du risque lié au prestataire
Le Règlement général sur la protection des données (RGPD), introduit par l’Union européenne, est entré en vigueur le 25 mai 2018. Avec l’introduction du RGPD, les organisations doivent non seulement surveiller leurs propres processus, mais aussi garantir que leurs prestataires protègent bien les données à caractère personnel de personnes telles que les clients, les employés et les prospects.
Nous avons récemment mis en ligne un webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD, qui porte sur un plan global en 16 étapes de mise en œuvre d’un programme de gouvernance des données en vue d’assurer la conformité au RGPD.
La conduite d’une évaluation du risque lié au prestataire est l’Étape 9 de ce plan. Pour en savoir plus sur les huit premières étapes, consultez les liens dans la barre latérale !
La perspective du RGPD sur le risque lié au prestataire
L’évaluation du risque lié au prestataire est un sous-ensemble de l’analyse d’impact relative à la protection des données. Si la plupart des entreprises mènent une évaluation complète de leurs processus et systèmes internes, elles ont tendance à ignorer les tierces parties telles que les fournisseurs et prestataires de services.
La gestion du risque lié au prestataire est problématique, puisque les entreprises n’ont pas de contrôle direct sur celui-ci. Cependant, le RGPD impose clairement que les responsables du traitement (l’entité qui détermine la finalité et les moyens du traitement des données à caractère personnel) comme les sous-traitants (l’entité qui traite les données à caractère personnel pour le compte d’un responsable du traitement) relèvent de sa compétence.
L’Article 28.1 du RGPD traite des obligations de tout tiers sous-traitant des informations. L’article stipule que lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci ne doit faire appel qu’à des sous-traitants offrant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles de manière à ce que le traitement réponde aux exigences du RGPD.
L’Article 28.2 stipule en outre que le sous-traitant ne recrutera pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
Si un sous-traitant enfreint la confidentialité des données à caractère personnel, les entreprises peuvent se trouver exposées à des amendes considérables de 20 millions d’euros, ou quatre pour cent de leurs recettes, le plus élevé de ces montants étant retenu. Pour se conformer au RGDP, il est donc crucial de mener une évaluation complète du risque lié au prestataire.
Comment mener une évaluation du risque lié au prestataire
La gouvernance des données doit garantir que les équipes juridique et de la conformité approuvent les analyses du risque lié aux prestataires avant tout partage de données à caractère personnel avec des prestataires. Il n’est toutefois pas simple de mener cette évaluation. Il ne suffit pas d’envoyer un formulaire d’enquête avec une liste de cases à cocher.
En général, l’évaluation du risque lié au prestataire englobe les étapes suivantes :
- Identification des prestataires — De nombreuses entreprises ne disposent pas d’une liste regroupant tous les prestataires. Compte tenu du nombre d’applications de tiers utilisées aujourd’hui, il est nécessaire de dresser avant tout une liste complète des prestataires dans un système.
- Évaluation des contrats — Les équipes juridique et de la conformité doivent examiner les contrats existants et déterminer comment les modifier pour obliger les prestataires à se conformer au RGPD. Des modèles de contrat doivent être rédigés pour accélérer ce processus.
- Identification des sous-traitants de sous-traitants — Les sous-traitants ne peuvent pas sous-traiter les données à caractère personnel à l’insu de l’entreprise. Si le prestataire communique des données à caractère personnel à des sous-traitants en amont, les départements juridique et de la conformité doivent également valider les analyses du risque de ces sous-traitants en amont.
- Préparation de questionnaires pour vérifier le niveau de préparation — Les questionnaires permettent de comprendre comment les prestataires perçoivent leur niveau de préparation. Souvent, les réponses permettent de déterminer s’il existe un risque pour les données ou non.
- Audits sur site — Les audits sur site permettent de déterminer si les réponses aux questionnaires correspondent à la réalité du terrain. Ces audits peuvent être planifiés à intervalles réguliers pour garantir une préparation constante.
- Autorisation/refus — Au terme de l’évaluation, si l’équipe de gouvernance des données soupçonne un risque éventuel, elle doit évaluer si le plan d’action du prestataire pour se conformer au RGPD est assez solide pour maintenir son engagement.
Utiliser Talend pour les évaluations du risque lié au prestataire
Les évaluations du risque lié au prestataire prennent du temps, donc les processus manuels ne peuvent pas fonctionner sur le long terme. Le recours à la technologie permet non seulement d’accélérer le processus, mais il offre aussi des critères d’analyse concluants. De même, les résultats de l’évaluation peuvent être intégrés aux systèmes sous forme de solutions.
Les technologies Talend peuvent prendre en charge l’analyse du risque lié au prestataire lorsque les données sont recueillies auprès de prestataires ou partagées avec eux. Les outils Talend vont au-delà de la phase d’évaluation pour appliquer automatiquement les contrôles du RGPD liés à l’échange quotidien de données. Talend Data Quality peut intégrer des contrôles au sein d’un flux d’intégration des données tandis que Talend Data Stewardship peut transférer la responsabilité de l’intendance des données au prestataire.
Étapes suivantes de l’évaluation du risque lié au prestataire
L’évaluation du risque lié au prestataire n’est pas une activité ponctuelle. La gouvernance doit faire preuve d’un investissement continu dans le processus et mettre à jour les ressources, documents et systèmes en fonction des nouveaux résultats. Les entreprises doivent cesser de travailler de façon isolée et mieux communiquer avec leurs prestataires.
L’étape suivante du plan global en 16 étapes de Talend en vue d’assurer la conformité au RGPD consiste à améliorer la qualité des données.
← Étape 8 | Étape 10 →
Plus d'articles connexes
- Tout comprendre au RGPD grâce au guide Talend
- Qu'est-ce que la minimisation des données ?
- Se préparer au RGPD
- [Étape 14 du RGPD] Comment contrôler le cycle de vie des informations
- [Étape 15 du RGPD] Comment établir des accords de partage des données
- [Étape 16 du RGPD] Comment assurer la conformité au RGPD avec les contrôles
- [Étape 13 du RGPD] Comment gérer l’End User Computing
- [Étape 11 du RGPD] Comment reconstituer le lignage des données pour le RGPD
- [Étape 12 du RGPD] Comment contrôler les modèles analytiques
- [Étape 10 du RGPD] Comment améliorer la qualité des données
- [Étape 8 du RGPD] Les Analyses d’Impact relatives à la Protection des Données
- [Étape 7 du RGPD] Comment instaurer des normes de masquage des données
- [Étape 3 du RGPD] Comment confirmer les propriétaires des données
- [Étape 6 du RGPD] Comment définir des normes d’utilisation acceptable pour le RGPD
- [Étape 2 du RGPD] L’importance de créer une taxonomie des données
- [Étape 4 du RGPD] Comment identifier des ensembles de données critiques et des éléments de données critiques
- [Étape 1 du RGPD] Comment développer des politiques, normes et contrôles
- [Étape 5 du RGPD] Comment établir des normes de collecte des données