Presqu’un an après son entrée en vigueur effective, on est encore loin d’une conformité totale des entreprises au RGPD (Règlement général pour la protection des données personnelles). Cette situation à risque impose une vigilance accrue des DSI vis-à-vis de leurs fournisseurs.
Selon le Data Privacy Benchmark Study 2019 publié par Cisco, le taux de conformité au RGPD varie de 42 % à 75 %. L’Espagne, l’Italie, le Royaume-Uni, avec 70 % et plus, ainsi que la France (62 %) demeurent en tête de liste, tandis que la Chine, le Japon et l’Australie se situent dans le bas du classement, avec des taux inférieurs à 50 %. Globalement, seulement 59 % des entreprises estiment qu’elles sont conformes à l’ensemble des obligations du RGPD, 29 % prévoient de le faire d’ici un an, 9 % mettront plus d’un an. La situation est encore plus préoccupante dans les PME : d’après une étude OpinionWay pour Captain Contrat, 48 % des dirigeants de TPE-PME ne sont pas certains d’être en règle, voire pleinement conscients de ne pas l’être (14 %).
Les fournisseurs peuvent, eux aussi, ne pas être conformes au RGPD. Rappelons que ce texte introduit des changements significatifs dans la manière dont les entreprises et les organisations publiques devront traiter les données personnelles, mais également pour les fournisseurs, avec, en tête, les éditeurs de progiciels. En effet, contrairement à la réglementation précédente, les fournisseurs sont parties prenantes et tenus de respecter la réglementation pour le compte de leurs clients.
1. Les transferts de données
Le fournisseur doit s’engager à ne pas transférer de données personnelles vers des pays qui ne sont pas reconnus par le droit de l’Union européenne. Il convient d’obtenir la liste exhaustive des pays vers lesquels sont effectués les transferts de données à caractère personnel, ainsi qu’une copie des clauses types signées par le fournisseur et d’intégrer dans les contrats une clause qui engage ce dernier à ne pas transférer ou divulguer des données à caractère personnel vers des pays non autorisés par le droit européen.
2. La gestion des consentements
L’entreprise doit avoir l’assurance que le fournisseur ne met pas en œuvre de traitements illicites en retraitant les données personnelles que son client lui a confié. Par ailleurs, il est indispensable que l’information soit conservée, auditable et transmissible au client, et que les données collectées soient nécessaires au traitement, bien sûr sécurisées, par exemple avec des outils de chiffrement. Il faut ainsi vérifier la présence d’une clause portant sur la licéité des traitements, disposer d’informations dématérialisées permettant de croiser les informations, à des fins d’audit, et s’assurer que le fournisseur a documenté les procédures mises en place.
3. L’existence d’un DPO (délégué à la protection des données personnelles)
Un DPO (ou un représentant dans l’union européenne) doit être désigné et facilement joignable, notamment en période de congés, durant les week-end ou en dehors des horaires de travail. Les fournisseurs devront donc s’engager à transmettre les coordonnées complètes (nom, fonction, adresse, e-mail, téléphone) du ou des DPO et à les mettre à jour en cas de changement. Il peut être pertinent de tester régulièrement l’existence et la réactivité des DPO, ainsi que la validité des informations les concernant. De même, il convient de vérifier la preuve de la fourniture de ces informations aux autorités de contrôle. En cas de recours à un DPO externe, la preuve d’un contrat de service entre le fournisseur et son sous-traitant devra être apportée.
4. L’obligation de répondre aux autorités de contrôle
Les entreprises doivent avoir la garantie que leurs fournisseurs s’engagent à répondre aux demandes d’information et aux vérifications effectuées par les autorités de contrôle ou leurs représentants, notamment en cas de suspicion de violation des dispositions du RGPD, d’injonction de mise en conformité ou de demandes d’exercices des droits de la part des personnes. Comme il s’agit d’une contrainte réglementaire, cela doit être inclus dans la prestation de base du fournisseur.
5. La gouvernance des données
Concernant les principes relatifs aux traitements des données, il doit exister des modalités explicites de capture des informations, avec l’accord de la personne sur l’objet, la ou les finalités, ainsi que sur la durée de conservation des données, avec une mise à jour régulière afin de garantir l’exactitude des informations.
Par ailleurs, les données doivent être, si possible, cryptées ou au moins sécurisées et sauvegardées, avec un accès réservé aux seules personnes habilitées. Les fournisseurs doivent donc fournir à leurs clients la possibilité de modifier ou de supprimer les données, de chiffrer les données et de gérer une hiérarchie d’accès aux données. Ils doivent également fournir à leurs clients une description des procédures de sécurité techniques et organisationnelles, afin de garantir la protection associée des données.
Pour vérifier le respect de l’approche Privacy by Design, il y a lieu de prévoir la possibilité de demander au fournisseur les documents de certification et le plan d’assurance qualité, en fonction de la sensibilité des données. Le client doit également pouvoir auditer les accès, les durées de vie des données et les mises à jour.
6. L’analyse d’impact
Le RGPD impose la réalisation d’une analyse d’impact et la consultation préalable de l’autorité de contrôle lorsque les traitements présentent des risques élevés. Sur ce point, les fournisseurs ont une obligation d’aide et de conseil. Ainsi, ils doivent apporter conseil au responsable du traitement dans l’élaboration d’une analyse d’impact et l’aider à évaluer si le traitement est effectué conformément à cette analyse. Par ailleurs, le fournisseur se doit d’alerter le responsable de traitement lorsqu’une analyse d’impact s’avère nécessaire.
7. La notification des incidents de sécurité
Le fournisseur doit assurer la disponibilité d’un registre de traitement, ainsi que l’exhaustivité du détail des caractéristiques (contenu, sécurité, destination, catégories de personnes concernées). Il doit également fournir à ses clients une description générale des données à caractère personnel, y compris des données sensibles (dans le sens du RGPD), et des mesures de sécurité techniques et organisationnelles des activités sous-traitées.
En cas de violation, il y a lieu d’en identifier l’existence, les modalités de sa survenance et des impacts futurs pour ses clients. Il faut, par ailleurs, mettre en œuvre les moyens nécessaires pour tester, analyser, documenter (chiffrement, pseudonymisation, confidentialité, intégrité, disponibilité, etc…) et être en mesure de produire une description détaillée des mesures de sécurité techniques et organisationnelles prises.
Les moyens de contrôle sont principalement des audits, internes et externes. On mesurera, par exemple, la proportion de non-respect des obligations parmi les informations du registre, ainsi que le respect des normes ISO de sécurité ou des chartes de sécurité, lorsqu’elles existent.
8. L’information et le droit des personnes
Le fournisseur doit mettre à disposition les outils pour informer les utilisateurs des données personnelles collectées et de leur destination, pour qu’ils puissent exercer leurs droits d’accès, de rectification et le droit de suppression/anonymisation.
Plus précisément, pour se conformer aux exigences du RGPD, le fournisseur doit :
- garantir la mise à disposition gratuite des informations nécessaires liées aux données à caractère personnel.
- avoir la possibilité de mettre à jour les données à caractère personnel.
- prouver la réalité de la suppression de toutes les informations à caractère personnel.
- avoir la possibilité de mettre en stand-by tout ou partie des données à caractère personnel.
- pouvoir identifier toute donnée personnelle modifiée ou supprimée.
- pouvoir identifier tout destinataire auquel ces données ont été communiquées.
- avoir la possibilité d’extraire les informations dans un format structuré et lisible de manière automatisée.
- pouvoir exclure tout ou partie des données des traitements concernés en fonction d’une situation donnée, sur demande.
- disposer interfaces nécessaires pour mettre à jour les informations personnelles dans les délais prévus.