RGPD : Pourquoi faut-il vérifier le niveau de sécurité de nos fournisseurs ?

Les entreprises partagent régulièrement des données personnelles avec des tierces-parties mais, peuvent-elles leur faire confiance ?

Le Règlement Général Européen sur la Protection des Données (RGPD) indique clairement que les entreprises sont responsables des violations de données causées par des fournisseurs de services tiers. Cela devrait donc être une préoccupation majeure car des tierces-parties seraient impliqués dans 63% des violations de données.

Le RGPD, qui sera mis en application le 25 mai 2018, renforce les droits des résidents européens liés à leurs données personnelles et donne aux autorités de contrôles des pouvoirs disciplinaires plus forts. Toute entreprise non-conforme au règlement est passible d’une amende allant jusqu’à 4% de son chiffre d’affaires annuel, soit 20 millions d’euros, selon le montant le plus élevé. Bien que les amendes maximales ne puissent être imposées que si une entreprise déroge ouvertement aux exigences du règlement, des mesures disciplinaires strictes peuvent être mises en place.

Les tierces-parties présentant un risque de sécurité important, les entreprises doivent se protéger.

 

Ce qu’il faut faire

Lors de l’analyse de la relation avec un fournisseur, la société de technologie de communication 8×8, nous conseille :

Ne supposez pas que vos fournisseurs prennent la sécurité et la conformité au sérieux, et encore moins la conformité au RGPD.

Définissez clairement tous les domaines et activités impliquant le RGPD et demandez à vos fournisseurs de signer une assurance contractuelle garantissant qu’ils se conformeront aux exigences du RGPD d’ici le 25 mai 2018.

Mettez-vous d’accord avec vos fournisseurs quant au fait de ne sous-traiter aucun service impacté par le RGPD sans autorisation écrite.

Contrôlez en amont puis auditez régulièrement les procédures de vos fournisseurs.

Assurez-vous que vos fournisseurs vérifient soigneusement les antécédents de tout le personnel et des sous-traitants, y compris les dossiers de crédit, d’emploi et les casiers judiciaires.

Renseignez-vous quant à la localisation des employés de vos fournisseurs et décidez si vous êtes prêts à travailler avec des fournisseurs employant du personnel à l’étranger.

Vous devez également connaitre les règles relatives au transfert de données en dehors de l’UE. Le RGPD est lié à la localisation de la personne concernée et non à l’endroit où les données sont collectées ou stockées. Ainsi, que votre fournisseur de services soit basé ou non dans l’UE, le règlement s’applique si les données personnelles des résidents de l’UE sont collectées.

Toutefois, vous ne pouvez pas transférer les données des résidents de l’UE dans tous les pays. Le RGPD autorise uniquement les transferts de données personnelles vers les pays que la Commission Européenne considère comme ayant un niveau « adéquat » de protection des données personnelles.

En l’absence d’une décision d’adéquation, les transferts sont autorisés en dehors des Etats membres de l’UE dans certaines circonstances, par exemple, par le biais de clauses contractuelles types ou de règles d’entreprises contraignantes. Des dérogations sont également autorisées dans des circonstances supplémentaires limitées.

 

Formation RGPD

Bien que vous ayez probablement une équipe travaillant sur votre projet de préparation au RGPD, toute personne traitant des données personnelles doit également connaitre ses obligations.

La formation de sensibilisation du personnel est un élément essentiel de tout cadre de conformité au RGPD. Notre formation en ligne de sensibilisation du personnel au RGPD fournit une introduction au RGPD, décrit les six principes de collecte et de traitement des données personnelles et donne des conseils sur la façon d’appliquer ces principes.

En savoir plus sur notre formation en ligne de sensibilisation du personnel au RGPD >>

 

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.