Conformité des fournisseurs : Principales réglementations à prendre en compte pour votre programme SRM

Exigences de sécurité de l'information pour les fournisseurs

Même les fournisseurs n'appartenant pas au secteur des technologies de l'information peuvent avoir accès à des PII, PHI, à la propriété intellectuelle ou à d'autres informations sensibles susceptibles de présenter des risques de non-conformité pour votre organisation. Voici quelques exigences majeures en matière de sécurité de l'information à prendre en compte lorsque vous travaillez avec des fournisseurs :

HIPAA pour les fournisseurs

La loiHIPAA (Health Insurance Portability and Accountability Act) exige des organisations qu'elles mettent en œuvre des contrôles de sécurité de l'information pour sécuriser les informations de santé protégées (PHI) des patients. Les exigences de l'HIPAA régissent plusieurs types d'organisations, notamment les prestataires de soins de santé, les fournisseurs de plans de santé et les centres d'échange d'informations sur les soins de santé.

En vertu de la règle HIPAA Business Associate, les vendeurs et fournisseurs tiers qui stockent ou traitent des PHI sont également soumis à la surveillance HIPAA. Si les associés commerciaux de l'HIPAA ont tendance à être des fournisseurs de TI, ce n'est pas toujours le cas. Les associés commerciaux peuvent également inclure des fournisseurs tels que :

• Consultants qui traitent les demandes de remboursement de soins de santé
• Fournisseurs qui effectuent des examens de l'utilisation et de l'efficacité pour un hôpital
• Transcripteurs médicaux

Quels fournisseurs doivent se conformer à l'HIPAA ?

La règle de l'associé commercial de l'HIPAA s'applique à tout tiers qui stocke ou traite des PHI. Selon le ministère de la santé et des services sociaux, un associé commercial est "une personne ou une entité qui exerce certaines fonctions ou activités impliquant l'utilisation ou la divulgation d'informations de santé protégées au nom d'une entité couverte, ou qui lui fournit des services".

CMMC pour les fournisseurs

La certification du modèle de maturité de la cybersécurité (CMMC) est un cadre créé par le ministère américain de la défense (DoD) pour améliorer la sécurité de sa chaîne d'approvisionnement, connue sous le nom de base industrielle de la défense (DIB).

Dans le cadre du CMMC 2.0, les organisations souhaitant travailler avec le ministère de la défense devront respecter des normes spécifiques en matière de sécurité de l'information et être certifiées pour l'un des trois niveaux du CMMC, en fonction du type de données qu'elles traitent et de l'étendue de leur accès à des informations classifiées :

• Niveau 1 : Ce niveau s'adresse aux fournisseurs qui gèrent des informations contractuelles fédérales (FCI), qui ne sont pas essentielles à la sécurité nationale et qui doivent s'auto-évaluer par rapport à 17 contrôles.
• Niveau 2 : les fournisseurs qui traitent des informations non classifiées contrôlées (CUI) relèvent du niveau 2 et devront être certifiés pour 110 contrôles supplémentaires issus de la norme NIST SP 800-171. Bien que certains fournisseurs puissent procéder à des auto-évaluations à ce niveau, la plupart d'entre eux devront faire appel à des organismes d'audit tiers certifiés (C3PAO).
• Niveau 3 : il s'agit d'un niveau expert pour les fournisseurs les plus prioritaires du DoD. Outre les contrôles requis pour le niveau 2, ce niveau implique un sous-ensemble de contrôles NIST SP 800-172. Le gouvernement fédéral effectuera les audits pour les fournisseurs de niveau 3.

Quels fournisseurs doivent se conformer à la CMMC ?

La CMMC s'appliquera à tous les contractants principaux, sous-traitants et fournisseurs de la chaîne d'approvisionnement du DoD. Le DoD prévoit que plus de 300 000 organisations seront concernées par les réglementations de la CMMC. Les organisations qui ne se conforment pas à la CMMC peuvent perdre la possibilité de soumissionner à des contrats avec le ministère américain de la défense. La réglementation finale sur la CMMC 2.0 est en cours, avec une mise en œuvre progressive prévue pour la fin de l'année et jusqu'en 2025.

NIST pour les fournisseurs

Le National Institute of Standards and Technology (NIST) publie des cadres de cybersécurité contenant les meilleures pratiques pour la mise en place de programmes efficaces de sécurité de l'information. Toutes les agences fédérales américaines, les contractants et les sous-traitants qui travaillent avec des agences fédérales doivent se conformer aux mandats de sécurité du NIST.

Les documents du NIST ne sont pas juridiquement contraignants, mais plusieurs réglementations sont basées sur les contrôles et les normes du NIST. De nombreuses organisations publiques et privées exigent des certifications tierces basées sur les directives du NIST. Plusieurs publications spéciales du NIST décrivent les contrôles qui obligent les organisations à établir et à mettre en œuvre des processus d'identification, d'évaluation et de gestion des risques liés à la chaîne d'approvisionnement. Il s'agit notamment de :

• SP 800-53 Rev. 5: Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations
• SP 800-161 Rev. 1: Pratiques de gestion des risques liés à la chaîne d'approvisionnement en matière de cybersécurité pour les systèmes et les organisations
• Cadre de cybersécurité v2.0: Cadre pour l'amélioration de la cybersécurité des infrastructures critiques

Quelles exigences du NIST s'appliquent aux relations avec les fournisseurs ?

Les exigences du NIST relatives aux fournisseurs tiers sont les suivantes :

• Évaluer si les contrôles de sécurité sont mis en œuvre correctement, s'ils fonctionnent comme prévu et s'ils répondent aux exigences.
• surveiller les contrôles de sécurité pour déterminer leur efficacité de manière continue
• Déterminer les exigences de cybersécurité pour les fournisseurs
• Adopter des exigences en matière de cybersécurité par le biais d'accords formels (par exemple, des contrats).
• Communiquer aux fournisseurs comment les exigences de cybersécurité seront vérifiées et validées.
• Vérifier que les exigences en matière de cybersécurité sont respectées grâce à des méthodes d'évaluation.

Le NIST n'est pas un organisme de réglementation. Il n'y a donc pas de sanctions légales directes en cas de non-conformité, sauf si des réglementations telles que l'HIPAA, qui utilise la norme NIST SP 800-66, l'exigent. Cependant, si votre organisation travaille avec des agences gouvernementales américaines, la conformité aux normes du NIST est nécessaire. La non-conformité des fournisseurs tiers aux normes NIST peut néanmoins présenter des risques et nuire aux relations avec les clients.

Exigences de conformité ESG pour les fournisseurs

Les réglementations conçues pour répondre aux préoccupations environnementales, sociales et de gouvernance (ESG) exigent de plus en plus des organisations qu'elles identifient et traitent de manière proactive les questions ESG dans leurs chaînes d'approvisionnement étendues.

Les premières réglementations ESG, telles que la loi britannique sur l'esclavage moderne et la loi californienne sur la transparence des chaînes d'approvisionnement (CTSCA), exigent principalement des organisations qu'elles rendent compte de leurs efforts pour atténuer les pratiques contraires à l'éthique dans leurs chaînes d'approvisionnement. Toutefois, les réglementations ESG plus récentes et plus strictes exigent des actions telles que la réalisation d'audits de routine des pratiques ESG des fournisseurs, la résiliation des contrats avec les fournisseurs contraires à l'éthique et la surveillance proactive des chaînes d'approvisionnement pour détecter les risques ESG potentiels.

Les exigences de conformité ESG se répartissent en deux grandes catégories :

1. Les exigences de divulgation, qui imposent aux organisations de rendre compte des efforts déployés pour répondre aux préoccupations ESG dans leurs chaînes d'approvisionnement.
2. Exigences de diligence raisonnable et de contrôle, qui obligent les organisations à évaluer les pratiques ESG des fournisseurs et à s'assurer que ces derniers mettent en œuvre des contrôles liés à l'ESG.

Les réglementations ESG existantes et à venir pour votre programme de gestion des risques fournisseurs comprennent la loi canadienne sur la lutte contre le travail forcé et le travail des enfants dans les chaînes d'approvisionnement, la loi britannique sur l'esclavage moderne, la loi allemande sur la diligence raisonnable dans la chaîne d'approvisionnement et la directive européenne sur la diligence raisonnable en matière de développement durable des entreprises.

Loi sur la lutte contre le travail forcé et le travail des enfants dans les chaînes d'approvisionnement (S-211)

La loi sur la lutte contre le travail forcé et le travail des enfants dans les chaînes d'approvisionnement, également connue sous le nom de S-211, est une loi qui exige des institutions gouvernementales canadiennes et de certaines entités du secteur privé qu'elles "fassent rapport sur les mesures prises pour prévenir et réduire le risque de recours au travail forcé ou au travail des enfants par elles-mêmes ou dans leurs chaînes d'approvisionnement". La loi prévoit également un régime d'inspection pour faire appliquer ses dispositions. Comme la loi britannique sur l'esclavage moderne, la loi australienne sur l'esclavage et d'autres lois similaires, la loi vise à contribuer à la lutte mondiale contre le travail forcé, le travail des enfants et d'autres formes d'esclavage moderne.

Qui doit se conformer à la loi sur la lutte contre le travail forcé ?

Toutes les organisations gouvernementales canadiennes qui produisent, achètent ou distribuent des biens au Canada doivent se conformer à la loi. En outre, les entités commerciales doivent se conformer à la loi si elles sont soit a) cotées en bourse au Canada, soit b) font des affaires au Canada et y possèdent des actifs d'au moins 20 millions de dollars, génèrent un chiffre d'affaires d'au moins 40 millions de dollars et emploient en moyenne au moins 250 personnes.

La loi britannique sur l'esclavage moderne

La loi sur l'esclavage moderne (Modern Slavery Act) de 2015 est une loi britannique qui exige des organisations qu'elles communiquent publiquement leurs pratiques pour s'assurer que le travail forcé, la traite des êtres humains et d'autres formes de servitude involontaire n'ont pas lieu dans leurs entreprises ou leurs chaînes d'approvisionnement.

La section "Transparence dans les chaînes d'approvisionnement" de la loi (partie 6, section 54) définit les informations que les organisations doivent divulguer, notamment :

• la structure organisationnelle, y compris les informations sur ses activités et ses chaînes d'approvisionnement
• des politiques d'entreprise qui traitent de l'esclavage et de la traite des êtres humains
• des processus de diligence raisonnable pour révéler l'esclavage et la traite des êtres humains potentiels dans ses activités et ses chaînes d'approvisionnement
• les domaines d'activité spécifiques où il existe un risque d'esclavage et de traite des êtres humains, et les mesures prises pour évaluer et gérer ce risque.
• les résultats obtenus pour garantir que l'esclavage et la traite des êtres humains ne se produisent pas dans ses activités ou ses chaînes d'approvisionnement
• des informations sur la formation du personnel sur les thèmes de l'esclavage et de la traite des êtres humains

Qui doit se conformer à la loi britannique sur l'esclavage moderne ?

La loi britannique sur l'esclavage moderne s'applique aux organisations opérant au Royaume-Uni et dont le chiffre d'affaires annuel est égal ou supérieur à 36 millions de livres sterling.

La loi allemande sur la diligence raisonnable en matière de chaîne d'approvisionnement

La loi allemande sur le devoir de diligence dans la chaîne d'approvisionnement oblige les organisations à mettre en œuvre un devoir de diligence en matière de droits de l'homme dans leur chaîne d'approvisionnement. Cette loi exige des entreprises qu'elles prennent toutes les mesures nécessaires pour prévenir les risques en matière de droits de l'homme, qu'elles rendent compte de leurs efforts, qu'elles remédient aux risques et qu'elles conservent la documentation pendant sept ans.

Les entreprises couvertes doivent mettre à jour leurs processus de diligence raisonnable en matière de chaîne d'approvisionnement et aligner leurs activités sur les dispositions de la loi, qui couvrent les domaines suivants :

• Dommages environnementaux
• Salaire minimum
• Travail des enfants et travail forcé
• Saisie illégale de terres et d'eaux
• Torture
• Discrimination
• Liberté d'association
• Conditions d'emploi et de travail problématiques
• Santé et sécurité au travail

Qui doit se conformer à la loi allemande sur la diligence raisonnable en matière de chaîne d'approvisionnement ?

À partir de 2023, toutes les entreprises opérant en Allemagne et employant au moins 3 000 personnes seront soumises à la loi allemande sur le devoir de vigilance à l'égard de la chaîne d'approvisionnement. En 2024, la loi s'étendra aux entreprises de plus de 1 000 employés.

La directive européenne sur la diligence raisonnable des entreprises en matière de développement durable

La directive sur le devoir de diligence des entreprises en matière de développement durable (DDDD) impose aux entreprises des obligations spécifiques de diligence raisonnable concernant leurs activités et leurs chaînes d'approvisionnement afin d'identifier, de prévenir, d'atténuer et de rendre compte des incidences négatives sur l'environnement, le travail et les droits de l'homme. Le Parlement européen a publié le projet final en janvier 2024. Si elle est adoptée, la loi entrera en vigueur par étapes à partir de 2027.

Si la loi est promulguée, elle exigera des organisations qu'elles.. :

• Intégrer la diligence raisonnable ESG dans les politiques d'entreprise
• Identifier les impacts négatifs réels ou potentiels sur les droits de l'homme et l'environnement.
• Prévenir ou atténuer les impacts potentiels
• Mettre fin ou minimiser les impacts réels
• Établir et maintenir une procédure de plaintes
• Contrôler l'efficacité de la politique et des mesures de diligence raisonnable
• Rendre compte publiquement des activités de diligence raisonnable

Qui doit se conformer à la directive sur l'obligation de diligence raisonnable en matière de développement durable des entreprises ?

Si elles sont adoptées, les règles de la directive sur le devoir de diligence en matière de développement durable s'appliqueront aux entreprises de l'UE et aux sociétés mères employant plus de 500 personnes et réalisant un chiffre d'affaires mondial supérieur à 150 millions d'euros. Les obligations s'appliqueront aux entreprises employant plus de 250 personnes et réalisant un chiffre d'affaires supérieur à 40 millions d'euros si elles génèrent au moins 20 millions d'euros dans l'un des secteurs suivants :

• Fabrication et commerce de gros de textiles, de vêtements et de chaussures
• Agriculture, y compris la sylviculture et la pêche
• Fabrication de denrées alimentaires et commerce de matières premières agricoles
• Extraction et commerce de gros de ressources minérales ou fabrication de produits connexes
• La construction

Exigences en matière de confidentialité des données pour les fournisseurs

Les exigences en matière de confidentialité des données sont une autre préoccupation majeure pour les organisations qui travaillent avec des fournisseurs tiers. Des réglementations telles que le GDPR et CCPA limitent la manière dont les données personnelles peuvent être partagées, stockées et traitées entre les entreprises, et des amendes importantes sont imposées en cas de violation de la conformité.

GDPR pour les fournisseurs

Le règlement général sur la protection des données (RGPD) est une loi sur la protection de la vie privée qui régit l'utilisation, la circulation et la protection des données collectées sur les citoyens de l'Union européenne (UE). Le GDPR s'applique à toute organisation qui collecte, stocke, traite ou transfère des données personnelles sur des individus en Europe, quelle que soit sa localisation.

Les tiers étant souvent responsables de la gestion des données personnelles pour le compte de leurs clients, les entreprises doivent s'assurer que leurs fournisseurs et vendeurs ont mis en place des contrôles et une gouvernance en matière de protection des données. Ce processus implique la réalisation d'évaluations de contrôle de la confidentialité des données, l'analyse des résultats pour détecter les risques potentiels et l'obligation pour les tiers de remédier aux risques afin d'éviter les risques réglementaires, financiers et d'atteinte à la réputation.

En fait, le GDPR exige des organisations qu'elles procèdent à des évaluations des risques afin d'identifier les risques liés à la protection de la vie privée, tant en interne que chez les tiers qui manipulent, traitent ou stockent des données à caractère personnel pour le compte de l'organisation. Le considérant 76 - Évaluation des risques - stipule que "le risque devrait être évalué sur la base d'une évaluation objective, par laquelle il est établi si les opérations de traitement des données comportent un risque ou un risque élevé".

Qui doit se conformer au GDPR ?

Le GDPR s'applique à toute organisation qui stocke ou traite des données appartenant à des résidents de l'Union européenne.

CCPA pour les fournisseurs

La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act ) réglemente la collecte et la vente des données des consommateurs par les entreprises afin de protéger les informations personnelles sensibles des résidents californiens et de permettre aux consommateurs de contrôler la manière dont les entreprises utilisent ces informations.

Le site CCPA s'applique aux données des consommateurs collectées auprès de tout résident de Californie, qu'il s'agisse d'une entreprise dont le siège social se trouve dans cet État ou d'une entreprise qui y fait des affaires. Les entreprises doivent surveiller les fournisseurs ayant accès aux données des résidents californiens et mettre en œuvre des mesures proactives pour s'assurer que les données soumises à CCPA sont traitées correctement.

Le site CCPA a été élargi en 2023 avec le California Privacy Rights Act (CPRA), ajoutant de nouvelles obligations de conformité qui imposent des accords stricts avec des tiers pour garantir la collecte, l'utilisation et l'élimination sécurisées des informations sur les consommateurs.

Qui doit se conformer au site CCPA?

La loi CCPA s'applique aux entreprises qui collectent des informations personnelles auprès des résidents de Californie, aux prestataires de services et aux tiers auxquels les entreprises transfèrent ces informations. Bien que la loi CCPA soit une loi d'État, elle s'applique à toute entité à but lucratif - où qu'elle soit - qui fait des affaires avec des consommateurs californiens et des tiers :

• a un revenu annuel brut supérieur à 25 millions de dollars ;
• achète, reçoit ou vend les informations personnelles d'au moins 50 000 résidents, ménages ou appareils californiens ; ou
• tire 50 % ou plus de son chiffre d'affaires annuel de la vente d'informations personnelles de résidents californiens.

Prochaines étapes : Automatiser la gestion de la conformité des fournisseurs

Aujourd'hui, l'environnement des risques liés aux tiers est complexe et en constante évolution. Votre programme de gestion des risques fournisseurs doit donc être en mesure de répondre aux exigences de conformité réglementaire et de garantir la résilience de votre entreprise tout au long de votre chaîne d'approvisionnement.

Avec la solution de gestion du risque fournisseur de Prevalent, vous pouvez automatiser vos activités d'évaluation du risque fournisseur, de surveillance, d'analyse et de reporting à l'aide d'une plateforme unique et unifiée. En même temps, vous bénéficiez d'une couverture intégrée pour des dizaines de réglementations de conformité et de cadres de meilleures pratiques. Découvrez comment vous pouvez rationaliser votre conformité au risque fournisseur et planifiez une démonstration dès aujourd'hui.