Cela fait un peu plus d'un an que le Règlement général sur la protection des données (RGPD) de l'UE est entré en vigueur. Depuis lors, de nombreuses organisations ont cherché des outils à toute épreuve pour déterminer si leurs écosystèmes tiers protègent suffisamment leurs données - et donc leur marque et leurs bénéfices. Cependant, de nombreux responsables de la conformité et des risques ont rencontré des " pièges " qui révèlent que les outils de base de gestion des risques liés aux tiers ne sont pas adaptés au GDPR.
Quel est le problème avec les balles en argent ?
Chaque organisation doit identifier les contrôles les plus critiques pour la protection des données. Cependant, une fois que les données sont retirées de votre environnement, vous dépendez des contrôles mis en place par ceux qui manipulent ou traitent vos données. Malheureusement, de nombreuses organisations n'ont pas l'expertise interne ou le financement pour construire une gestion des risques des tiers (TPRM) efficace et faire le strict minimum pour mesurer l'adhésion des fournisseurs au GDPR.
Dans leur quête d'éviter l'examen des auditeurs et d'esquiver les pénalités liées au GDPR, de nombreux services de protection de la vie privée demandent simplement aux tiers de signer des lettres d'attestation GDPR, plaçant ainsi la responsabilité sur leurs fournisseurs de déchiffrer et d'adhérer au mandat. D'autres organisations se tournent vers les outils de classement et de notation des risques liés aux fournisseurs pour " cocher " les exigences réglementaires. Cependant, la plupart des outils de notation et d'évaluation sont à courte vue, ne fournissent pas de données significatives et peuvent inciter à prendre des décisions en fonction de ce qui est disponible plutôt que de ce qui est réalisable.
Si votre programme TPRM s'arrête à des lettres d'attestation ou à des outils de notation et d'évaluation "externes", vous êtes peut-être victime des quatre écueils du GDPR ...
Mais d'abord, un rappel des éléments clés du GDPR
Avant d'en venir aux problèmes, replaçons le contexte en rappelant les principaux éléments du GDPR:
Les quatre écueils du GDPR
Voici donc les "quatre écueils" auxquels de nombreuses organisations ne s'attendaient pas lorsqu'elles ont planifié leur préparation au GDPR - et comment les éviter :
1 : La gestion des fournisseurs n'est qu'une composante du GDPR
Pour vous assurer que votre programme de risques liés aux tiers prend en compte l'ensemble du GDPR, confirmez que votre diligence raisonnable et vos plans d'action sont en accord avec l'ensemble du mandat. La gestion des fournisseurs ne fait qu'effleurer la surface. Utilisez le questionnaire GDPR dePrevalent, qui est basé sur les normes d'évaluations partagées, pour déterminer l'état de préparation des tiers pour tous les éléments du GDPR. Faire signer des lettres d'attestation par des tiers est une solution rapide, mais il est de votre responsabilité de surveiller la conformité des tiers et de creuser davantage lorsque leurs contrôles sont jugés défavorables (ou inexistants).
2 : Les petits fournisseurs passent souvent à travers les mailles du filet dans le cadre de la GDPR
La plupart des organisations ont identifié des fournisseurs importants et évidents, tels que les fournisseurs d'hébergement, mais le GDPR peut avoir un impact sur toutes les classifications de fournisseurs. Utilisez la plateforme de gestion des risques des tiers dePrevalent pour mieux classer et appliquer une diligence raisonnable à tous les niveaux de fournisseurs. La diligence raisonnable des fournisseurs d'hébergement est un bon début, mais elle ne permettra pas de régir l'ensemble de votre univers de fournisseurs. Prevalent vous permet de dimensionner correctement la collecte de contenu pour le GDPR et fournit des registres de risques pour informer votre DPD de ce qui est nécessaire pour régir la conformité des tiers au GDPR.
3 : Les amendes et pénalités liées au GDPR sont réelles pour tout le monde
Si vous avez probablement entendu parler de Facebook et d'Uber qui ont reçu de lourdes amendes liées au GDPR, aucun secteur n'est à l'abri. Les organisations du secteur de la santé, de la finance et du commerce de détail ont également reçu des amendes. PrevalentLa solution de l'entreprise détermine l'état de préparation au GDPR non seulement de votre organisation, mais aussi de vos affiliés, filiales et tierces parties. Le registre des risques Prevalent évalue la préparation au GDPR à tous les niveaux des parties prenantes afin de réduire le risque d'amendes liées au GDPR.
4 : Les responsables du traitement des données se voient également infliger des amendes
Des installateurs de vidéosurveillance aux services informatiques traitant les informations des patients, le GDPR soulève des obligations réglementaires pour tous les tiers de votre écosystème. Avec Prevalent, vous pouvez facilement catégoriser toutes les entités et générer des diagrammes en toile d'araignée qui révèlent l'étendue de vos flux de données et décrivent l'étendue des contrôles GDPR que vous devez appliquer.
Une image plus complète et plus précise des risques et de la conformité des tiers.
C'est à vous d'approfondir et d'élargir vos évaluations des risques liés aux tiers pour combler les lacunes qui pourraient entraîner une amende préjudiciable ou une constatation réglementaire. Je viens de vous donner quelques exemples de la manière dont la plateforme unifiée de gestion des risques liés aux tiers de Prevalentpeut vous aider à éviter certains problèmes liés au GDPR. Cela se résume à ceci :
Découvrez comment Prevalent peut vous aider à simplifier le processus d'évaluation, de validation et de remédiation des risques liés aux tiers, tout en respectant le GDPR et d'autres mandats de conformité : demandez une démo dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024