Initialement adopté en mai 2018, le Règlement général sur la protection des données (RGPD ) est une loi sur la protection de la vie privée qui régit l'utilisation, la circulation et la protection des données recueillies sur les citoyens de l'Union européenne (UE). Le GDPR couvre toute organisation qui collecte, stocke, traite ou transfère des données personnelles sur des individus en Europe, quelle que soit la localisation de l'organisation.
Les tiers étant souvent chargés de gérer les données personnelles pour le compte de leurs clients, les organisations doivent veiller tout particulièrement à ce que ces fournisseurs et partenaires disposent de dispositifs de contrôle et de gouvernance en matière de protection des données. Ceci implique de procéder à des évaluations des contrôles de la confidentialité des données, d'analyser les résultats pour détecter les risques potentiels et d'exiger des tiers qu'ils remédient à ces risques afin d'éviter les expositions réglementaires, financières et de réputation.
L'UE applique agressivement le GDPR, avec plusieurs sanctions notables infligées aux entreprises ayant des défaillances de tiers, notamment :
Ce billet résume les raisons pour lesquelles les organisations devraient s'intéresser au GDPR et comment elles peuvent évaluer leurs processus internes et leurs relations avec les tiers par rapport aux exigences du GDPR.
Pour se protéger des risques, les organisations sont tenues par le GDPR de mener des évaluations des risques afin d'identifier les risques à la fois au sein de l'organisation et avec tout tiers qui aura accès aux données personnelles. Considérant 76 - Évaluation du risque - stipule que "Lerisque doit être évalué sur la base d'une appréciation objective, par laquelle il est établi si les opérations de traitement des données comportent un risque ou un risque élevé."
Les organisations soumises à la réglementation GDPR doivent s'assurer qu'elles et leurs tiers protègent la confidentialité de toute information personnelle collectée et/ou traitée. Cela implique de procéder à une évaluation approfondie des risques présents chez chaque tiers et de s'assurer que des contrôles appropriés sont en place pour atténuer les risques.
Liste de contrôle de la conformité des tiers au GDPR
Lisez ce rapport pour connaître les considérations relatives aux tiers dans le cadre du règlement général sur la protection des données (RGPD) et découvrez la manière d'inclure les évaluations des risques liés au RGPD dans vos initiatives TPRM plus larges.
Le GDPR se compose de deux éléments : 99 articles et 173 considérants. Les articles décrivent les exigences légales que les organisations doivent suivre pour démontrer leur conformité. Les considérants fournissent un contexte qui complète les articles. Le tableau ci-dessous résume les articles et les considérants pertinents pour une évaluation des risques et une orientation des tiers. Pour une cartographie complète des exigences du GDPR, téléchargez la liste de contrôle de la conformité.
Exigences du GDPR | Ce que cela signifie |
---|---|
Article 24 : responsabilité du responsable du traitement Paragraphe 1 Compte tenu de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement s'effectue conformément au présent règlement. Ces mesures sont réexaminées et mises à jour, si nécessaire. L'article 24 renvoie à deux considérants à titre indicatif : le considérant 76 : évaluation des risques La probabilité et la gravité du risque pour les droits et libertés de la personne concernée devraient être déterminées en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque doit être évalué sur la base d'une appréciation objective, par laquelle il est établi si les opérations de traitement des données comportent un risque ou bien un risque élevé. Considérant 77 : lignes directrices pour l'évaluation des risques Des orientations sur la mise en œuvre de mesures appropriées et sur la démonstration de la conformité par le responsable du traitement ou le sous-traitant, notamment en ce qui concerne l'identification des risques liés au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à réduire le risque. |
En cas de recours à des tiers en tant que « sous-traitants », le responsable du traitement des informations (le propriétaire) est tenu de s'assurer de la mise en place par chaque tiers de contrôles appropriés pour garantir la confidentialité et la sécurité des données à caractère personnel. Tenter de réaliser des évaluations par des tiers à l'aide de questionnaires manuels et de feuilles de calcul est incohérent et non évolutif. En cas d'audit, la capacité à "démontrer que le traitement est effectué conformément" au GDPR peut être un défi. Les évaluations manuelles peuvent entraîner des exigences manquées et des réponses mal renseignées ou incomplètes. Pour satisfaire aux exigences du GDPR, les évaluations doivent être objectives et la notation cohérente. |
Article 25 : protection des données dès la conception et par défaut Paragraphe 1 ... le responsable du traitement met en œuvre, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, les mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, destinées à mettre en œuvre de manière effective les principes de protection des données, comme la minimisation des données, et à intégrer les garanties nécessaires dans le traitement afin de satisfaire aux exigences du présent règlement et de protéger les droits des personnes concernées. Considérant 78 Mesures techniques et organisationnelles appropriées |
Se conformer au GDPR nécessite une compréhension technique approfondie du traitement des données, de la gouvernance des données et des contrôles. Alors que la plupart des enquêtes d'évaluation des risques se concentrent sur les contrôles et les politiques générales, le GDPR exige un traitement spécial des informations personnelles, notamment la pseudonymisation, la minimisation des données et (selon le considérant 78) la protection des données "par conception et par défaut." |
Article 28 : sous-traitant Paragraphe 1 Lorsque le traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci ne fait appel qu'à des sous-traitants offrant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et assure la protection des droits de la personne concernée. |
Les organisations travaillent souvent avec des dizaines de tiers ayant accès à des informations personnelles couvertes par le GDPR. Il s'agit par exemple de partenaires publicitaires, de processeurs de données (y compris les applications cloud) et de fournisseurs d'hébergement cloud. La conformité au GDPR exige plus que de simples accords avec les fournisseurs. Il faut comprendre comment les données sont utilisées, comment elles se déplacent, et apporter la preuve de contrôles spécifiques pour protéger les données personnelles. |
Article 28 : sous-traitant Paragraphe 3 Ce contrat ou autre acte juridique stipule notamment que le sous-traitant : (f) assiste le responsable du traitement pour assurer le respect des obligations découlant des articles 32 à 36, compte tenu de la nature du traitement et des informations dont dispose le sous-traitant |
Les articles 32 à 36 prévoient la réalisation d'une analyse d'impact sur la protection des données ainsi qu'une surveillance continue des sous-traitants de données critiques (tiers). Chaque relation avec le sous-traitant "est régie par un contrat ou un autre acte juridique" qui oblige le sous-traitant à protéger les informations personnelles. L'évaluation des risques requise vise à identifier les risques pour les informations personnelles et à s'assurer que le sous-traitant a mis en place des contrôles adéquats. |
Article 28 : sous-traitant Paragraphe 3 Ce contrat ou autre acte juridique stipule notamment que le sous-traitant : (h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et permettre ou contribuer aux audits, y compris les inspections, réalisés par le responsable du traitement ou un autre auditeur mandaté par le responsable du traitement. |
Veillez à conserver un répertoire complet de tous les documents recueillis et examinés au cours du processus de diligence. |
Article 32 : sécurité du traitement Paragraphe 1 Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris : (b) la capacité de garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ; (d) un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement. Considérant 76 : l'évaluation des risques La probabilité et la gravité du risque pour les droits et libertés de la personne concernée devraient être déterminées en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque doit être évalué sur la base d'une appréciation objective, par laquelle il est établi si les opérations de traitement des données comportent un risque ou bien un risque élevé. |
Alors que les évaluations sont souvent considérées comme un exercice d'embarquement, le GDPR et d'autres normes réglementaires exigent une conformité continue. La gestion d'un seul examen de conformité peut être difficile en utilisant des processus manuels. Savoir quand les circonstances justifieraient une mise à jour périodique sur des dizaines ou des centaines de tiers à travers le monde est encore plus difficile. |
Article 35 : analyse d'impact sur la protection des données Paragraphe 1 Lorsqu'un type de traitement utilisant notamment les nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'entraîner un risque élevé vis-à-vis des droits et libertés des personnes physiques, le responsable du traitement procède, avant la réalisation du traitement, à une évaluation de l'impact des opérations d'exploitation envisagées sur la protection des données à caractère personnel. Une seule évaluation peut porter sur un ensemble de traitements similaires présentant des risques élevés similaires. Paragraphe 7 L'évaluation contient au moins 1) une description systématique des traitements envisagés et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ; 2) une évaluation de la nécessité et de la proportionnalité des traitements par rapport aux finalités ; 3) une évaluation des risques pour les droits et libertés des personnes concernées visés au paragraphe 1 ; et 4) les mesures envisagées pour faire face aux risques, y compris les garanties, les mesures de sécurité et les mécanismes destinés à assurer la protection des données à caractère personnel et à démontrer le respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes intéressées. |
La technologie évolue quotidiennement et de nouvelles offres de services peuvent apporter une valeur commerciale accrue. Le GDPR indique clairement qu'avant d'adopter de nouvelles méthodes de traitement des données personnelles, les organisations doivent évaluer l'impact de ces opérations sur les données. |
Article 45 : transferts sur la base d'une décision d'adéquation Paragraphe 1 Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a décidé que le pays tiers, à savoir un territoire ou bien un à plusieurs secteurs déterminés de ce pays tiers, ou l'organisation internationale en question, assure un niveau de protection adéquat. Paragraphe 2 Un tel transfert ne nécessite aucune autorisation spécifique. Lors de son évaluation du caractère adéquat du niveau de protection, la Commission prend notamment en compte les éléments suivants : • l'État de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, notamment en matière de sécurité publique, de défense, de sécurité nationale et de droit pénal, ainsi que l'accès des autorités publiques aux données à caractère personnel. |
De plus en plus, les conseils d'administration, les investisseurs et les clients veulent s'assurer que les organisations et leurs partenaires et fournisseurs partagent des valeurs et des engagements communs. Le GDPR en rend compte à l'article 45, qui exige que les droits de l'homme et la primauté du droit soient pris en compte lors du transfert d'informations personnelles. |
Laplateforme de gestion des risques des tiers Prevalent comprend des fonctionnalités intégrées permettant d'évaluer les risques internes et externes pour les données des consommateurs, d'automatiser les mesures correctives et de rendre compte des progrès aux organismes de réglementation. Prevalent:
Pour plus de détails sur la façon dont Prevalent peut aider les organisations à évaluer leurs contrôles de protection des données des tiers pour répondre aux exigences du GDPR, lisez The GDPR Third-Party Compliance Checklist ou demandez une démo dès aujourd'hui. Pour savoir comment la gestion des risques liés aux tiers s'applique à plus de 20 autres réglementations, téléchargez le manuel de conformité de la gestion des risques liés aux tiers.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024