La LPDP et la gestion du risque pour les tiers

Lignes directrices consultatives sur les concepts clés de la LPDP : comment se conformer aux exigences du TPRM

il est essentiel de veiller à ce que les tiers utilisent les contrôles de sécurité les plus stricts lorsqu'ils stockent, gèrent ou conservent les données des clients de votre organisation. Cette section établit une correspondance entre les meilleures pratiques et certains articles de la LPDP afin d'aider vos équipes chargées de la protection des données à s'assurer que les tiers respectent leurs obligations en matière de protection des données.

REMARQUE : Il s'agit uniquement d'un résumé des articles les plus pertinents, qui ne doit pas être considéré comme un guide complet et définitif. Pour une liste complète des articles, veuillez examiner le document complet en détail et consulter votre auditeur.

L'obligation de protection des données, 17.3 c)

La PDPA exige des organisations qu'elles "mettent en œuvre des politiques et des procédures solides pour garantir des niveaux de sécurité appropriés pour les données à caractère personnel plus ou moins sensibles".

Pour répondre à ces exigences, les organisations doivent envisager de définir les critères suivants dans le cadre de leur programme de gestion des risques liés aux tiers :

• Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
• Rôles et responsabilités clairs (par exemple, RACI) pour tous les membres de l'équipe.
• Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
• Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
• Cartographie de quatrième partie pour déterminer les dépendances en amont
• Sources de données de surveillance continue (par exemple, cyber, commerciales, financières, de réputation) afin de fournir un aperçu constant des risques émergents pour les données.
• Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) contractuels à mesurer.
• Établir des rapports pour répondre aux besoins de multiples parties prenantes internes (et externes)
• Stratégies d'atténuation des risques et de remédiation, y compris l'applicabilité des contrôles compensatoires

Pour ce faire, de nombreuses organisations choisissent de s'aligner sur un cadre de gestion des risques reconnu, tel que l'ISO. Si vous cherchez à automatiser le processus de mesure de votre programme de gestion des risques technologiques par rapport à un cadre industriel, assurez-vous de choisir une plateforme d'évaluation qui offre plusieurs options de questionnaires préétablis qui s'alignent sur de multiples cadres.

L'obligation de protection des données, 17.3 d)

La PDPA exige des organisations qu'elles soient "préparées et capables de répondre rapidement et efficacement aux violations de la sécurité de l'information".

Il est impossible d'identifier, de répondre, de rapporter et d'atténuer rapidement l'impact des incidents des fournisseurs tiers manuellement ou sans une base solide de gestion des incidents. Les capacités clés à examiner dans le cadre de votre programme de réponse aux incidents sont les suivantes :

• Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables afin de rester flexible face à des menaces en constante évolution.
• Suivi en temps réel de l'achèvement du questionnaire pour s'assurer que des progrès acceptables sont réalisés.
• Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
• Rapports proactifs des fournisseurs pour permettre aux tiers d'identifier eux-mêmes les incidents
• Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
• Règles de flux de travail permettant de déclencher des scénarios automatisés pour agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
• Recommandations de remédiation intégrées pour réduire les risques
• Modèles de rapports intégrés
• Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, 4èmes ou Nièmes parties afin de visualiser les chemins de l'information et de déterminer les données à risque.

L'obligation de protection des données, 17.4

La PDPA suggère aux organisations de procéder à une évaluation des risques afin de déterminer si leurs dispositions en matière de sécurité de l'information sont adéquates. Ce faisant, les facteurs suivants peuvent être pris en considération :

a) la taille de l'organisation et la quantité et le type de données à caractère personnel qu'elle détient ;

b) qui, au sein de l'organisation, a accès aux données à caractère personnel ; et

c) si les données à caractère personnel sont ou seront détenues ou utilisées par un tiers pour le compte de l'organisation.

Pour répondre à ces suggestions, il convient d'envisager les possibilités suivantes :

Auto-évaluations

Réaliser une évaluation interne de l'impact sur la vie privée (EIVP) ciblant les données les plus sensibles liées à la vie privée et les processus opérationnels présentant le risque le plus élevé. L'EIVP évalue l'origine, la nature et la gravité du risque potentiel. Elle fournit également des recommandations pour atténuer les risques identifiés et garantir la conformité future avec les réglementations en matière de protection de la vie privée.

Découverte et cartographie de données de tiers, de quatrième et de troisième partie

Les évaluations et l'analyse passive peuvent permettre de cartographier les relations afin de retracer les transferts de données entre les relations commerciales, d'identifier où les données existent, où elles circulent et avec qui elles sont partagées à l'extérieur de l'organisation.

Évaluation des risques liés aux fournisseurs

Examiner les contrôles de confidentialité des données des tiers par rapport à la PDPA en utilisant un cadre commun tel que l'ISO. Le contenu spécifique du questionnaire permet d'identifier les risques et de les mettre en correspondance avec les contrôles afin d'obtenir une vision claire des points chauds potentiels. Dans le cadre de ce processus, surveiller en permanence l' Internet et le dark web pour détecter les menaces et les vulnérabilités ( cyber ), ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Réponse aux risques et remédiation

Établir des seuils et automatiser l'identification des risques en fonction de ceux-ci. Utiliser des règles de flux de travail qui transmettent les risques identifiés à la partie prenante appropriée pour qu'elle les examine et les prenne en compte immédiatement. Proposer aux tiers des recommandations prescriptives de remédiation pour les obliger à rendre des comptes.

Suivi de la conformité et rapports

Structurez les rapports de conformité par rapport aux exigences de la PDPA en utilisant un cadre industriel commun tel que l'ISO. Cela vous permettra de mettre automatiquement en correspondance les risques et les réponses avec les contrôles, d'obtenir un pourcentage de conformité et de fournir des rapports spécifiques aux parties prenantes afin d'assurer la visibilité de la sécurité des données.

Surveillance continue de la notification des brèches

Restez à l'affût des risques potentiels pour les données en surveillant les bases de données sur les violations de données. Elles fournissent des informations sur les types et les quantités de données volées, sur les questions de conformité et de réglementation et sur les notifications en temps réel des fournisseurs en cas de violation de données.

Comment Prevalent aide à répondre aux exigences de la PDPA en matière de TPRM

Les organisations qui doivent se conformer à la LPDP doivent s'assurer que les tiers avec lesquels elles partagent des informations personnelles ont mis en place des contrôles pour protéger ces informations. Prevalent offre aux organisations une plateforme évolutive de gestion des risques liés aux tiers qui traite des risques liés à la protection des données. La plateforme Prevalent :

• Établit une base solide pour la protection des données des tiers grâce à un programme complet de gestion des risques technologiques
• Permet de savoir où se trouvent les données relatives à la vie privée, comment elles circulent et qui y a accès.
• Accélère l'identification des risques et la prise de mesures correctives, ce qui permet de limiter les coûts liés aux violations et les atteintes à la réputation.
• Générer des rapports ciblés pour les régulateurs, les vendeurs et les parties prenantes internes.
• Surveille en permanence les violations et accélère la réponse aux incidents afin de réduire le risque d'un incident préjudiciable et coûteux en matière de sécurité des données.

Avec Prevalent, les équipes chargées des fournisseurs, de la sécurité et de la protection de la vie privée disposent d'une plateforme unique et collaborative pour effectuer des évaluations de la protection de la vie privée et atténuer les risques liés à la vie privée, qu'ils soient internes ou externes.

Pour plus d'informations sur lessolutions Prevalent pour la conformité à la PDPA, téléchargez notre liste de contrôle complète sur la conformité à la PDPA ou planifiez une démonstration.