Dernier rapport d'analyste : Le guide de marché 2023 de Gartner® pour les solutions de gestion des risques fournisseurs

Hero Image Solutions Conformité Gdpr

Conformité au règlement général sur la protection des données (RGPD)

GDPR et gestion des risques liés aux tiers

Le règlement général sur la protection des données (RGPD) est une loi relative à la protection de la vie privée qui régit l'utilisation, le mouvement et la protection des données recueillies auprès des citoyens de l'Union européenne (UE). Le GDPR couvre toute organisation qui collecte, stocke, traite ou transfère des données personnelles concernant des individus en Europe, quelle que soit la localisation de l'organisation. Le GDPR impose des pénalités pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial (le montant le plus élevé étant retenu), ainsi que des dommages et intérêts compensatoires pour les personnes.

Les tiers étant souvent chargés de gérer les données personnelles pour le compte de leurs clients, les organisations doivent veiller tout particulièrement à ce que ces fournisseurs et partenaires disposent de dispositifs de contrôle et de gouvernance en matière de protection des données. Ceci implique de procéder à des évaluations des contrôles de la confidentialité des données, d'analyser les résultats pour détecter les risques potentiels et d'exiger des tiers qu'ils remédient à ces risques afin d'éviter les expositions réglementaires, financières et de réputation.

En réalité, les organisations sont tenues par le GDPR de procéder à des évaluations des risques afin d'identifier les risques à la fois au sein de l'organisation et avec tout tiers ayant accès aux données personnelles. Le considérant 76 - Évaluation des risques, stipule que « Le risque doit être évalué sur la base d'une appréciation objective, par laquelle il est établi si les opérations de traitement des données comportent un risque ou bien un risque élevé. »

Conditions applicables

  • Évaluations des risques liés à la confidentialité des données pour tous les tiers ayant accès aux données personnelles

  • Surveillance continue des risques cybernétiques, commerciaux, financiers et de réputation critiques de tiers.

  • Preuves documentées pour démontrer la conformité

  • Pistes d'audit

Liste de contrôle de la conformité des tiers au GDPR

Lisez ce rapport pour connaître les considérations relatives aux tiers dans le cadre du règlement général sur la protection des données (RGPD) et découvrez la manière d'inclure les évaluations des risques liés au RGPD dans vos initiatives TPRM plus larges.

Lire la suite
Liste de contrôle de la conformité à la GDPR 1021

Répondre aux exigences du GDPR TPRM

Voici de quelle manière Prevalent vous permet de répondre aux exigences du GDPR en matière de gestion des risques liés aux tiers :

Exigences du GDPR Quelle aide nous apportons

Article 24 : responsabilité du responsable du traitement

Paragraphe 1

Compte tenu de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement s'effectue conformément au présent règlement. Ces mesures sont réexaminées et mises à jour, si nécessaire.

L'article 24 renvoie à deux considérants à titre indicatif :

le considérant 76 : évaluation des risques

La probabilité et la gravité du risque pour les droits et libertés de la personne concernée devraient être déterminées en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque doit être évalué sur la base d'une appréciation objective, par laquelle il est établi si les opérations de traitement des données comportent un risque ou bien un risque élevé.

Considérant 77 : lignes directrices pour l'évaluation des risques

Des orientations sur la mise en œuvre de mesures appropriées et sur la démonstration de la conformité par le responsable du traitement ou le sous-traitant, notamment en ce qui concerne l'identification des risques liés au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à réduire le risque.

En cas de recours à des tiers en tant que « sous-traitants », le responsable du traitement des informations (le propriétaire) est tenu de s'assurer de la mise en place par chaque tiers de contrôles appropriés pour garantir la confidentialité et la sécurité des données à caractère personnel.

PrevalentLa plateforme de gestion des risques pour les tiers d'EDC automatise les évaluations des risques pour les tiers. Elle fournit des questionnaires conçus spécifiquement pour le GDPR et évalue les risques en fonction de leur "probabilité et de leur gravité", tout en facilitant les mesures correctives conformément aux directives du GDPR. Prevalent fournit une bibliothèque de plus de 200 modèles d'évaluation standardisés - y compris le GDPR et d'autres normes réglementaires liées à la vie privée - ainsi que des capacités de personnalisation et des flux de travail intégrés.

En outre, le service de validation des contrôles de Prevalent examine les réponses et la documentation des évaluations tierces par rapport à des protocoles de test établis afin de valider la mise en place des contrôles indiqués.

Pour accélérer les évaluations, les réseaux Vendor Intelligence de Prevalent donnent accès à des milliers d'évaluations réalisées et vérifiées, continuellement mises à jour et offrant des preuves à l'appui.

Article 25 : protection des données dès la conception et par défaut

Paragraphe 1

... le responsable du traitement met en œuvre, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, les mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, destinées à mettre en œuvre de manière effective les principes de protection des données, comme la minimisation des données, et à intégrer les garanties nécessaires dans le traitement afin de satisfaire aux exigences du présent règlement et de protéger les droits des personnes concernées.

Considérant 78

Mesures techniques et organisationnelles appropriées
Afin de pouvoir démontrer la conformité au présent règlement, le responsable du traitement devrait adopter des politiques internes et mettre en œuvre des mesures qui répondent notamment aux principes de la protection des données dès la conception et de la protection des données par défaut.

Prevalent fournit une expertise technique dans la conception de ses enquêtes et contrôles GDPR, garantissant la prise en compte des détails de mise en œuvre requis. Elle permet aux organisations de distinguer les systèmes correctement conçus des fonctionnalités de sécurité et de confidentialité intégrées pour garantir une conformité totale.

Lorsque des tiers utilisent des 4e ou Nième parties dans le traitement des données, Prevalent fournit une visibilité avec une cartographie détaillée des relations et des pistes d'audit relatives aux flux d'informations à travers tout un écosystème de fournisseurs.

Article 28 : sous-traitant

Paragraphe 1

Lorsque le traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci ne fait appel qu'à des sous-traitants offrant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et assure la protection des droits de la personne concernée.

Prevalent offre une plateforme automatisée aux professionnels de la sécurité, de la protection de la vie privée et de la gestion des risques pour gérer le processus d'évaluation des risques liés aux tiers et déterminer la conformité aux exigences en matière de sécurité informatique, réglementation et confidentialité des données, y compris le GDPR. Elle fournit des flux de travail de correction bidirectionnels, des rapports en direct et un tableau de bord facile à utiliser pour plus d'efficacité. Avec des rapports et des conseils de correction clairs, la plateforme garantit l'identification des risques et leur remontée vers les canaux appropriés.

Article 28 : sous-traitant

Paragraphe 3

Ce contrat ou autre acte juridique stipule notamment que le sous-traitant :

(f) assiste le responsable du traitement pour assurer le respect des obligations découlant des articles 32 à 36, compte tenu de la nature du traitement et des informations dont dispose le sous-traitant

Prevalent propose la seule plateforme unifiée spécialement conçue pour la gestion des risques liés aux tiers. Cette plateforme combine des évaluations automatisées des tiers et une surveillance continue des menaces pour simplifier la conformité, réduire les risques de sécurité et améliorer l'efficacité. La plateforme fournit aux professionnels de la sécurité et de la conformité une vue à 360 degrés des risques liés aux sous-traitants de données, via des rapports clairs et concis liés à des réglementations et des cadres de contrôle spécifiques, notamment le GDPR, pour une meilleure visibilité et prise de décision.

La plateforme Prevalent permet de réviser les contrats, contribuant à révéler les violations potentielles des contrats et à éclairer les négociations de renouvellement via des évaluations de contrats dédiées.

Article 28 : sous-traitant

Paragraphe 3

Ce contrat ou autre acte juridique stipule notamment que le sous-traitant :

(h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et permettre ou contribuer aux audits, y compris les inspections, réalisés par le responsable du traitement ou un autre auditeur mandaté par le responsable du traitement.

La plateforme Prevalent de gestion des risques liés aux tiers comprend un reporting efficace pour satisfaire aux exigences d'audit et de conformité, ainsi que pour présenter les résultats au conseil d'administration et à la direction générale. L'ensemble du profil de risque peut être visualisé dans une console centralisée de reporting en direct ; par ailleurs, les rapports peuvent être téléchargés et exportés pour déterminer le statut de conformité aux dispositions du GDPR. Les capacités de reporting approfondi comprennent des filtres et des graphiques interactifs à cliquer. La solution comprend un référentiel complet de toute la documentation recueillie et examinée au cours du processus de diligence.

Le Moniteur de risques liés aux fournisseurs (VTM) alerte les organisations en cas de changements défavorables dans les activités des tiers et déclenche des évaluations ciblées pour traiter les risques immédiats provisoires. Les alertes précoces permettent de disposer de plus de temps pour répondre aux incidents, et les conseils de correction intégrés aident les entreprises à protéger les données personnelles et à éviter les actions réglementaires ainsi que les atteintes à la réputation.

Article 32 : sécurité du traitement

Paragraphe 1

Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris :

(b) la capacité de garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ;

(d) un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.

Considérant 76 : l'évaluation des risques

La probabilité et la gravité du risque pour les droits et libertés de la personne concernée devraient être déterminées en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque doit être évalué sur la base d'une appréciation objective, par laquelle il est établi si les opérations de traitement des données comportent un risque ou bien un risque élevé.

Prevalent offre une plateforme automatisée aux professionnels de la sécurité, de la protection de la vie privée et de la gestion des risques pour gérer le processus d'évaluation des risques liés aux tiers et déterminer la conformité continue aux exigences en matière de sécurité informatique, réglementation et confidentialité des données, y compris le GDPR. Elle utilise des questionnaires standard et personnalisés pour aider à collecter des preuves et fournit des flux de travail de correction bidirectionnels, des rapports en direct et un tableau de bord facile à utiliser pour plus d'efficacité. Avec des rapports et des conseils de correction clairs, la plateforme garantit l'identification des risques et leur remontée vers les canaux appropriés.

Article 35 : analyse d'impact sur la protection des données

Paragraphe 1

Lorsqu'un type de traitement utilisant notamment les nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'entraîner un risque élevé vis-à-vis des droits et libertés des personnes physiques, le responsable du traitement procède, avant la réalisation du traitement, à une évaluation de l'impact des opérations d'exploitation envisagées sur la protection des données à caractère personnel. Une seule évaluation peut porter sur un ensemble de traitements similaires présentant des risques élevés similaires.

Paragraphe 7

L'évaluation contient au moins

1) une description systématique des traitements envisagés et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;

2) une évaluation de la nécessité et de la proportionnalité des traitements par rapport aux finalités ;

3) une évaluation des risques pour les droits et libertés des personnes concernées visés au paragraphe 1 ; et

4) les mesures envisagées pour faire face aux risques, y compris les garanties, les mesures de sécurité et les mécanismes destinés à assurer la protection des données à caractère personnel et à démontrer le respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes intéressées.

Avec Prevalent, vous pouvez mener des évaluations d'impact sur la vie privée pour découvrir les données professionnelles et les informations personnelles identifiables (PII) à risque. Analysez l'origine, la nature et la gravité du risque et obtenez des conseils de correction.

Pour les entreprises nécessitant davantage de ressources, les experts Prevalent en matière de services d'évaluation des risques liés aux fournisseurs peuvent se charger de toutes les tâches, de la collecte et de l'analyse des risques à la gestion des rapports et des mesures correctives.

Article 45 : transferts sur la base d'une décision d'adéquation

Paragraphe 1

Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a décidé que le pays tiers, à savoir un territoire ou bien un à plusieurs secteurs déterminés de ce pays tiers, ou l'organisation internationale en question, assure un niveau de protection adéquat.

Paragraphe 2

Un tel transfert ne nécessite aucune autorisation spécifique. Lors de son évaluation du caractère adéquat du niveau de protection, la Commission prend notamment en compte les éléments suivants :

• l'État de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, notamment en matière de sécurité publique, de défense, de sécurité nationale et de droit pénal, ainsi que l'accès des autorités publiques aux données à caractère personnel.

Prevalent soutient la conformité environnementale, sociale et de gouvernance (ESG) avec des capacités d'évaluation des tiers par rapport à un certain nombre de sujets ESG et de corrélation des résultats avec une surveillance externe continue des pratiques des fournisseurs. Ceci inclut la gestion de l'environnement, la diversité et l'inclusion, les droits de l'homme (par exemple, la lutte contre l'esclavage), les normes de travail, les stratégies financières et fiscales, et la transparence opérationnelle globale.

En outre, Prevalent inclut la surveillance des notifications relatives aux violations, donnant accès à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. Ceci inclut les types et les quantités de données volées, les problèmes de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs, afin de vous aider à déterminer la position des entreprises vers lesquelles vous envisagez de transférer des données.

Alignez votre programme TPRM sur CCPA, GDPR, HIPAA et autres

Téléchargez ce guide pour passer en revue les exigences spécifiques de 6 autorités de protection de la vie privée, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources présentées manuel de conformité vie privée
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo