« SWEEP DAY » 2018 : vers la conformité des sous-traitants informatiques au RGPD
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Laurent Badiane, Laëtitia Basset, 22/03/2019
L’édition 2018 du « SWEEP DAY » (1) était consacrée à la responsabilisation des acteurs en matière de protection des données.
Au regard des nombreuses obligations imposées aux Sous-traitants, la CNIL a choisi, dans le cadre du « SWEEP DAY 2018 » de s’intéresser aux Sous-traitants informatiques, intégrateurs de logiciels et hébergeurs et a ainsi interrogé vingt-quatre (24) organismes (2), par questionnaires écrits, afin de dresser un état des lieux de leur « conformité » aux nouvelles obligations du Règlement Général de Protection des Données (le « RGPD »).
Il ressort de cet audit que les nouvelles obligations imposées aux Sous-traitants (I) semblent avoir été relativement bien appréhendées dans la mesure où plusieurs « bonnes pratiques » ont été mises en évidence par la CNIL même si les Sous-traitants ont encore des marges de progression (II).
Au regard des nombreuses obligations imposées aux Sous-traitants, la CNIL a choisi, dans le cadre du « SWEEP DAY 2018 » de s’intéresser aux Sous-traitants informatiques, intégrateurs de logiciels et hébergeurs et a ainsi interrogé vingt-quatre (24) organismes (2), par questionnaires écrits, afin de dresser un état des lieux de leur « conformité » aux nouvelles obligations du Règlement Général de Protection des Données (le « RGPD »).
Il ressort de cet audit que les nouvelles obligations imposées aux Sous-traitants (I) semblent avoir été relativement bien appréhendées dans la mesure où plusieurs « bonnes pratiques » ont été mises en évidence par la CNIL même si les Sous-traitants ont encore des marges de progression (II).
I) Rappel des obligations imposées aux Sous-traitants par le RGPD
Le RGPD impose de nombreuses obligations aux Sous-traitants qui sont susceptibles de voir leur responsabilité engagée en cas de manquement.
L’article 28 du RGPD dispose que le Sous-traitant doit offrir à ses clients « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Pour mémoire, cela implique :
• Une obligation de transparence et de traçabilité du déroulement du traitement de l’information;
• Une obligation de garantir la sécurité des données personnelles via par exemple la gestion des failles ou la suppression de données sensibles ;
• Une obligation d’assistance, d’alerte et de conseil, notamment dans le cadre des analyses d’impact (3).
L’article 28 du RGPD dispose que le Sous-traitant doit offrir à ses clients « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Pour mémoire, cela implique :
• Une obligation de transparence et de traçabilité du déroulement du traitement de l’information;
• Une obligation de garantir la sécurité des données personnelles via par exemple la gestion des failles ou la suppression de données sensibles ;
• Une obligation d’assistance, d’alerte et de conseil, notamment dans le cadre des analyses d’impact (3).
II) Tendances dégagées par la CNIL
La CNIL a ainsi mis en lumière plusieurs « bonnes pratiques » chez les Sous-traitants :
• La réalisation d’études pour déterminer la nécessité de mettre en place un délégué à la protection des données ;
• L’adoption de procédures documentées et exhaustives pour diffuser une culture de la protection des données ;
• La mise en œuvre d’actions de sensibilisation des salariés (documentation, sessions de formation).
Toutefois, il semblerait qu’il reste du chemin à parcourir par les Sous-traitants sollicités qui ne semblent pas encore respecter pleinement les obligations du RGPD.
Les principaux axes d’amélioration résident dans :
• La mise en place plus fréquente de procédures de gestion d’incidents de sécurité ;
• L’assistance de leurs clients, responsables de traitements, en matière d’analyse d’impacts ;
• L’assistance dans les procédures de réponse à l’exercice des droits des personnes.
Les constats réalisés par la CNIL au niveau national ont été confirmés au niveau international par les autorités de protection des 18 autres pays dans lesquels 356 organismes ont été audités.
Ce bilan est l’occasion de rappeler les points de vigilance aux Sous-traitants mais également d’observer que la « mise en conformité » au RGPD implique un travail assidu et constant de la part de l’ensemble des maillons de la chaine des traitements des données.
• La réalisation d’études pour déterminer la nécessité de mettre en place un délégué à la protection des données ;
• L’adoption de procédures documentées et exhaustives pour diffuser une culture de la protection des données ;
• La mise en œuvre d’actions de sensibilisation des salariés (documentation, sessions de formation).
Toutefois, il semblerait qu’il reste du chemin à parcourir par les Sous-traitants sollicités qui ne semblent pas encore respecter pleinement les obligations du RGPD.
Les principaux axes d’amélioration résident dans :
• La mise en place plus fréquente de procédures de gestion d’incidents de sécurité ;
• L’assistance de leurs clients, responsables de traitements, en matière d’analyse d’impacts ;
• L’assistance dans les procédures de réponse à l’exercice des droits des personnes.
Les constats réalisés par la CNIL au niveau national ont été confirmés au niveau international par les autorités de protection des 18 autres pays dans lesquels 356 organismes ont été audités.
Ce bilan est l’occasion de rappeler les points de vigilance aux Sous-traitants mais également d’observer que la « mise en conformité » au RGPD implique un travail assidu et constant de la part de l’ensemble des maillons de la chaine des traitements des données.
**********************
(1) 6ème édition de l’opération annuelle qui est une évaluation coordonnée des membres du GPEN (« Global Privacy Enforcement Network »), organisme international facilitant la coopération transfrontalière – l’édition 2017 avait été consacrée aux sites web et applications mobiles de la vie quotidienne dans les secteurs du commerce en ligne, bancaire, du voyage, des réseaux sociaux etc. ;
(2) Intégrateurs de logiciel et hébergeurs, situés sur le territoire français, comprenant tant des très petites entreprises spécialisées que des acteurs majeurs offrant une gamme de service plus large.
(3) L’article 35 du RGPD prévoit la conduite d’une analyse d’impact relative à la protection des données (l’ « AIPD ») lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Aussi, l’AIPD est un outil important pour la responsabilisation des organismes en les aidants à façonner des traitements plus respectueux des données personnelles et à démontrer la conformité au RGPD.
Source: « Sweep 2018 » : premières tendances sur la responsabilisation des sous-traitants informatiques à l’heure du RGPD
(1) 6ème édition de l’opération annuelle qui est une évaluation coordonnée des membres du GPEN (« Global Privacy Enforcement Network »), organisme international facilitant la coopération transfrontalière – l’édition 2017 avait été consacrée aux sites web et applications mobiles de la vie quotidienne dans les secteurs du commerce en ligne, bancaire, du voyage, des réseaux sociaux etc. ;
(2) Intégrateurs de logiciel et hébergeurs, situés sur le territoire français, comprenant tant des très petites entreprises spécialisées que des acteurs majeurs offrant une gamme de service plus large.
(3) L’article 35 du RGPD prévoit la conduite d’une analyse d’impact relative à la protection des données (l’ « AIPD ») lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Aussi, l’AIPD est un outil important pour la responsabilisation des organismes en les aidants à façonner des traitements plus respectueux des données personnelles et à démontrer la conformité au RGPD.
Source: « Sweep 2018 » : premières tendances sur la responsabilisation des sous-traitants informatiques à l’heure du RGPD