GDPR/RGPD : Et vous, comment évaluez-vous la conformité de vos fournisseurs ?

évaluez la conformité de vos fournisseurs

On y arrive. Les nouveaux appels d’offres intègrent des annexes RGPD.

Extrait d’une annexe d’un appel d’offre récent : “Le titulaire met à la disposition du [Responsable de Traitement] la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par [le Responsable de Traitement] ou un autre auditeur qu’il a mandaté, et contribuer à ces audits […]”.
Il y est aussi question d’avoir un registre à jour, d’assurer la confidentialité des données, d’avoir un Data Protection Officer (DPO), etc.
Le sous-traitant s’engage donc contractuellement. Parfait. Mais est-ce que cela est suffisant ?

Pour enfoncer une porte ouverte, c’est le minimum puisqu’il s’agit tout simplement de respecter la loi. Cela permet aussi de fixer quelques principes de partage de charge en cas d’intervention des autorités (CNIL).

En revanche, en se limitant à une annexe contractuelle, purement déclarative, on ne sait pas où en est le sous-traitant dans sa maturité et sa conformité RGPD. Pourtant, quelques indices pourraient donner une première évaluation.

Quelques exemples :

– avez-vous un DPO autonome disposant des qualifications professionnelles adéquates ?
– avez-vous sensibilisé tous vos collaborateurs qui manipulent des données personnelles ?
– hébergez-vous des données personnelles en dehors de l’Union européenne ? Si c’est aux États-Unis, avez-vous vérifié si votre prestataire est bien sur la liste des entreprises du Privacy Shield ?
– fournir le descriptif du traitement de la relation client B2B
– avez-vous un Responsable de la Sécurité des Systèmes d’Information (RSSI) ou équivalent ?
– …

À chaque question, il convient de fournir une preuve. On se rapproche de ce que certaines entreprises effectuent quand elles évaluent la conformité cybersécurité de leurs partenaires. De proche en proche, on constitue ainsi une appréciation de l’engagement du sous-traitant dans la protection des données personnelles, via un Plan d’Assurance Conformité, cousin du Plan d’Assurance Sécurité.

Il est clair que cela peut prendre du temps mais des outils existent pour fluidifier le process. Et, comme le rappelle cette annexe RGPD, il faut “prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut”. Ce principe de Privacy by Design devraient se généraliser ; les donneurs d’ordre intégrant ainsi l’évaluation des pratiques de leurs futurs sous-traitants dès la phase de consultation, avec les achats.

Pour aller plus loin au sujet du RGPD :

Make IT Safe, solution de pilotage de la conformité RGPD

Maîtrise des risques de l’infogérance, et externalisation des Systèmes d’Information par l’ANSSI