Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers

Atténuez les risques liés à la vie privée et conformez-vous aux exigences du GDPR en évaluant les contrôles de protection des données des tiers grâce à ces mesures proactives.
Par :
Scott Lang
,
VP, Marketing produit
20 octobre 2021
Partager :
Blog Compliance Gdpr Sep 2019

Initialement adopté en mai 2018, le Règlement général sur la protection des données (RGPD ) est une loi sur la protection de la vie privée qui régit l'utilisation, la circulation et la protection des données recueillies sur les citoyens de l'Union européenne (UE). Le GDPR couvre toute organisation qui collecte, stocke, traite ou transfère des données personnelles sur des individus en Europe, quelle que soit la localisation de l'organisation.

Pourquoi la gestion des risques liés aux tiers est-elle importante dans le cadre du GDPR ?

Les tiers étant souvent chargés de gérer les données personnelles pour le compte de leurs clients, les organisations doivent veiller tout particulièrement à ce que ces fournisseurs et partenaires disposent de dispositifs de contrôle et de gouvernance en matière de protection des données. Ceci implique de procéder à des évaluations des contrôles de la confidentialité des données, d'analyser les résultats pour détecter les risques potentiels et d'exiger des tiers qu'ils remédient à ces risques afin d'éviter les expositions réglementaires, financières et de réputation.

L'UE applique agressivement le GDPR, avec plusieurs sanctions notables infligées aux entreprises ayant des défaillances de tiers, notamment :

  • L'organisme de réglementation luxembourgeois a infligé une amende de 746 millions d'euros à Amazon pour avoir enfreint le GDPR, estimant que le système publicitaire d'Amazon n'est pas fondé sur le "libre consentement".
  • Début 2021, l'autorité française de protection des données a infligé une amende de 150 000 euros à un contrôleur de données anonyme et de 75 000 euros à son contrôleur de données tiers pour ne pas avoir mis en œuvre des mesures de sécurité adéquates.
  • L'autorité de protection des données de Hambourg, en Allemagne, a infligé une amende de plus de 35 millions d'euros au détaillant de vêtements H&M pour une "surveillancetrop large de plusieurs centaines d'employés "."
  • Google s'est vu infliger une amende de 50 millions d'euros par les autorités françaises de réglementation des données pour "manque de transparence, informations inadéquates et absence de consentement valable concernant la personnalisation des annonces".
  • Le bureau du commissaire à l'information du Royaume-Uni a infligé une amende de 20 millions de livres à British Airways en 2018 pour ne pas avoir protégé les données personnelles et financières de 400 000 clients.

Ce billet résume les raisons pour lesquelles les organisations devraient s'intéresser au GDPR et comment elles peuvent évaluer leurs processus internes et leurs relations avec les tiers par rapport aux exigences du GDPR.

Les évaluations des risques par des tiers sont exigées par le GDPR.

Pour se protéger des risques, les organisations sont tenues par le GDPR de mener des évaluations des risques afin d'identifier les risques à la fois au sein de l'organisation et avec tout tiers qui aura accès aux données personnelles. Considérant 76 - Évaluation du risque - stipule que "Lerisque doit être évalué sur la base d'une appréciation objective, par laquelle il est établi si les opérations de traitement des données comportent un risque ou un risque élevé."

Les organisations soumises à la réglementation GDPR doivent s'assurer qu'elles et leurs tiers protègent la confidentialité de toute information personnelle collectée et/ou traitée. Cela implique de procéder à une évaluation approfondie des risques présents chez chaque tiers et de s'assurer que des contrôles appropriés sont en place pour atténuer les risques.

Liste de contrôle de la conformité des tiers au GDPR

Lisez ce rapport pour connaître les considérations relatives aux tiers dans le cadre du règlement général sur la protection des données (RGPD) et découvrez la manière d'inclure les évaluations des risques liés au RGPD dans vos initiatives TPRM plus larges.

Lire la suite
Liste de contrôle de la conformité à la GDPR 1021

Liste de contrôle : Exigences du GDPR pour l'évaluation des contrôles des processeurs de données

Le GDPR se compose de deux éléments : 99 articles et 173 considérants. Les articles décrivent les exigences légales que les organisations doivent suivre pour démontrer leur conformité. Les considérants fournissent un contexte qui complète les articles. Le tableau ci-dessous résume les articles et les considérants pertinents pour une évaluation des risques et une orientation des tiers. Pour une cartographie complète des exigences du GDPR, téléchargez la liste de contrôle de la conformité.

Exigences du GDPR Ce que cela signifie

Article 24 : responsabilité du responsable du traitement

Paragraphe 1

Compte tenu de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement s'effectue conformément au présent règlement. Ces mesures sont réexaminées et mises à jour, si nécessaire.

L'article 24 renvoie à deux considérants à titre indicatif :

le considérant 76 : évaluation des risques

La probabilité et la gravité du risque pour les droits et libertés de la personne concernée devraient être déterminées en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque doit être évalué sur la base d'une appréciation objective, par laquelle il est établi si les opérations de traitement des données comportent un risque ou bien un risque élevé.

Considérant 77 : lignes directrices pour l'évaluation des risques

Des orientations sur la mise en œuvre de mesures appropriées et sur la démonstration de la conformité par le responsable du traitement ou le sous-traitant, notamment en ce qui concerne l'identification des risques liés au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à réduire le risque.

En cas de recours à des tiers en tant que « sous-traitants », le responsable du traitement des informations (le propriétaire) est tenu de s'assurer de la mise en place par chaque tiers de contrôles appropriés pour garantir la confidentialité et la sécurité des données à caractère personnel.

Tenter de réaliser des évaluations par des tiers à l'aide de questionnaires manuels et de feuilles de calcul est incohérent et non évolutif. En cas d'audit, la capacité à "démontrer que le traitement est effectué conformément" au GDPR peut être un défi. Les évaluations manuelles peuvent entraîner des exigences manquées et des réponses mal renseignées ou incomplètes. Pour satisfaire aux exigences du GDPR, les évaluations doivent être objectives et la notation cohérente.

Article 25 : protection des données dès la conception et par défaut

Paragraphe 1

... le responsable du traitement met en œuvre, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, les mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, destinées à mettre en œuvre de manière effective les principes de protection des données, comme la minimisation des données, et à intégrer les garanties nécessaires dans le traitement afin de satisfaire aux exigences du présent règlement et de protéger les droits des personnes concernées.

Considérant 78

Mesures techniques et organisationnelles appropriées
Afin de pouvoir démontrer la conformité au présent règlement, le responsable du traitement devrait adopter des politiques internes et mettre en œuvre des mesures qui répondent notamment aux principes de la protection des données dès la conception et de la protection des données par défaut.

Se conformer au GDPR nécessite une compréhension technique approfondie du traitement des données, de la gouvernance des données et des contrôles. Alors que la plupart des enquêtes d'évaluation des risques se concentrent sur les contrôles et les politiques générales, le GDPR exige un traitement spécial des informations personnelles, notamment la pseudonymisation, la minimisation des données et (selon le considérant 78) la protection des données "par conception et par défaut."

Article 28 : sous-traitant

Paragraphe 1

Lorsque le traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci ne fait appel qu'à des sous-traitants offrant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et assure la protection des droits de la personne concernée.

Les organisations travaillent souvent avec des dizaines de tiers ayant accès à des informations personnelles couvertes par le GDPR. Il s'agit par exemple de partenaires publicitaires, de processeurs de données (y compris les applications cloud) et de fournisseurs d'hébergement cloud.

La conformité au GDPR exige plus que de simples accords avec les fournisseurs. Il faut comprendre comment les données sont utilisées, comment elles se déplacent, et apporter la preuve de contrôles spécifiques pour protéger les données personnelles.

Article 28 : sous-traitant

Paragraphe 3

Ce contrat ou autre acte juridique stipule notamment que le sous-traitant :

(f) assiste le responsable du traitement pour assurer le respect des obligations découlant des articles 32 à 36, compte tenu de la nature du traitement et des informations dont dispose le sous-traitant

Les articles 32 à 36 prévoient la réalisation d'une analyse d'impact sur la protection des données ainsi qu'une surveillance continue des sous-traitants de données critiques (tiers). Chaque relation avec le sous-traitant "est régie par un contrat ou un autre acte juridique" qui oblige le sous-traitant à protéger les informations personnelles. L'évaluation des risques requise vise à identifier les risques pour les informations personnelles et à s'assurer que le sous-traitant a mis en place des contrôles adéquats.

Article 28 : sous-traitant

Paragraphe 3

Ce contrat ou autre acte juridique stipule notamment que le sous-traitant :

(h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et permettre ou contribuer aux audits, y compris les inspections, réalisés par le responsable du traitement ou un autre auditeur mandaté par le responsable du traitement.

Veillez à conserver un répertoire complet de tous les documents recueillis et examinés au cours du processus de diligence.

Article 32 : sécurité du traitement

Paragraphe 1

Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris :

(b) la capacité de garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ;

(d) un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.

Considérant 76 : l'évaluation des risques

La probabilité et la gravité du risque pour les droits et libertés de la personne concernée devraient être déterminées en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque doit être évalué sur la base d'une appréciation objective, par laquelle il est établi si les opérations de traitement des données comportent un risque ou bien un risque élevé.

Alors que les évaluations sont souvent considérées comme un exercice d'embarquement, le GDPR et d'autres normes réglementaires exigent une conformité continue. La gestion d'un seul examen de conformité peut être difficile en utilisant des processus manuels. Savoir quand les circonstances justifieraient une mise à jour périodique sur des dizaines ou des centaines de tiers à travers le monde est encore plus difficile.

Article 35 : analyse d'impact sur la protection des données

Paragraphe 1

Lorsqu'un type de traitement utilisant notamment les nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'entraîner un risque élevé vis-à-vis des droits et libertés des personnes physiques, le responsable du traitement procède, avant la réalisation du traitement, à une évaluation de l'impact des opérations d'exploitation envisagées sur la protection des données à caractère personnel. Une seule évaluation peut porter sur un ensemble de traitements similaires présentant des risques élevés similaires.

Paragraphe 7

L'évaluation contient au moins

1) une description systématique des traitements envisagés et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;

2) une évaluation de la nécessité et de la proportionnalité des traitements par rapport aux finalités ;

3) une évaluation des risques pour les droits et libertés des personnes concernées visés au paragraphe 1 ; et

4) les mesures envisagées pour faire face aux risques, y compris les garanties, les mesures de sécurité et les mécanismes destinés à assurer la protection des données à caractère personnel et à démontrer le respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes intéressées.

La technologie évolue quotidiennement et de nouvelles offres de services peuvent apporter une valeur commerciale accrue. Le GDPR indique clairement qu'avant d'adopter de nouvelles méthodes de traitement des données personnelles, les organisations doivent évaluer l'impact de ces opérations sur les données.

Article 45 : transferts sur la base d'une décision d'adéquation

Paragraphe 1

Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a décidé que le pays tiers, à savoir un territoire ou bien un à plusieurs secteurs déterminés de ce pays tiers, ou l'organisation internationale en question, assure un niveau de protection adéquat.

Paragraphe 2

Un tel transfert ne nécessite aucune autorisation spécifique. Lors de son évaluation du caractère adéquat du niveau de protection, la Commission prend notamment en compte les éléments suivants :

• l'État de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, notamment en matière de sécurité publique, de défense, de sécurité nationale et de droit pénal, ainsi que l'accès des autorités publiques aux données à caractère personnel.

De plus en plus, les conseils d'administration, les investisseurs et les clients veulent s'assurer que les organisations et leurs partenaires et fournisseurs partagent des valeurs et des engagements communs. Le GDPR en rend compte à l'article 45, qui exige que les droits de l'homme et la primauté du droit soient pris en compte lors du transfert d'informations personnelles.

Comment Prevalent aide à répondre aux exigences du GDPR en matière de risques liés aux tiers.

Laplateforme de gestion des risques des tiers Prevalent comprend des fonctionnalités intégrées permettant d'évaluer les risques internes et externes pour les données des consommateurs, d'automatiser les mesures correctives et de rendre compte des progrès aux organismes de réglementation. Prevalent:

  • Offre un questionnaire spécifique GDPR dans la plate-forme, interrogeant le vendeur sur ses mesures techniques et organisationnelles pour protéger les droits de la personne concernée par l'article 28, paragraphe 1.
  • Fournit aux responsables du traitement des données une vue à 360 degrés des risques liés au traitement des données par le biais de rapports clairs et concis sur les défaillances du contrôle ainsi que les mesures correctives recommandées conformément à l'article 28, paragraphe 3.
  • Centralise le profil de risque d'un processeur de données, permettant un audit approfondi des processus mandatés par le contrôleur de données, conformément à l'article 28, paragraphe 3.
  • Fournir des évaluations périodiques ou secondaires continues pour contrôler en permanence les mesures techniques et organisationnelles mises en place par le responsable du traitement des données afin de garantir un niveau de sécurité adapté au risque, par exemple en testant, en évaluant et en appréciant régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement conformément à l'article 32, paragraphe 1.

Pour plus de détails sur la façon dont Prevalent peut aider les organisations à évaluer leurs contrôles de protection des données des tiers pour répondre aux exigences du GDPR, lisez The GDPR Third-Party Compliance Checklist ou demandez une démo dès aujourd'hui. Pour savoir comment la gestion des risques liés aux tiers s'applique à plus de 20 autres réglementations, téléchargez le manuel de conformité de la gestion des risques liés aux tiers.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo