Menu

Saisissez votre adresse mail pour recevoir nos articles :




A propos de l'auteur
Laurent Badiane

Avocat au Barreau de Paris depuis 2007
Associé depuis 2017
Bureau : Paris
Secrétariat : Françoise Delaroche + 33 (0)1 44 95 20 40
Email : l.badiane@kga.fr
Laetitia Basset

Avocat au Barreau de Paris depuis 2016
•Bureau : paris
•Langues : Français, Anglais
•Secrétariat : Françoise Delaroche : +33 (0)1 44 95 20 40
•Télécopie : +33 (0)1 49 53 03 97
•Email : l.basset@kga.fr


« SWEEP DAY » 2018 : vers la conformité des sous-traitants informatiques au RGPD



L’édition 2018 du « SWEEP DAY » (1) était consacrée à la responsabilisation des acteurs en matière de protection des données.

Au regard des nombreuses obligations imposées aux Sous-traitants, la CNIL a choisi, dans le cadre du « SWEEP DAY 2018 » de s’intéresser aux Sous-traitants informatiques, intégrateurs de logiciels et hébergeurs et a ainsi interrogé vingt-quatre (24) organismes (2), par questionnaires écrits, afin de dresser un état des lieux de leur « conformité » aux nouvelles obligations du Règlement Général de Protection des Données (le « RGPD »).

Il ressort de cet audit que les nouvelles obligations imposées aux Sous-traitants (I) semblent avoir été relativement bien appréhendées dans la mesure où plusieurs « bonnes pratiques » ont été mises en évidence par la CNIL même si les Sous-traitants ont encore des marges de progression (II).

I) Rappel des obligations imposées aux Sous-traitants par le RGPD

Le RGPD impose de nombreuses obligations aux Sous-traitants qui sont susceptibles de voir leur responsabilité engagée en cas de manquement.

L’article 28 du RGPD dispose que le Sous-traitant doit offrir à ses clients « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

Pour mémoire, cela implique :

• Une obligation de transparence et de traçabilité du déroulement du traitement de l’information;

• Une obligation de garantir la sécurité des données personnelles via par exemple la gestion des failles ou la suppression de données sensibles ;

• Une obligation d’assistance, d’alerte et de conseil, notamment dans le cadre des analyses d’impact (3).


II) Tendances dégagées par la CNIL

La CNIL a ainsi mis en lumière plusieurs « bonnes pratiques » chez les Sous-traitants :

• La réalisation d’études pour déterminer la nécessité de mettre en place un délégué à la protection des données ;

• L’adoption de procédures documentées et exhaustives pour diffuser une culture de la protection des données ;

• La mise en œuvre d’actions de sensibilisation des salariés (documentation, sessions de formation).

Toutefois, il semblerait qu’il reste du chemin à parcourir par les Sous-traitants sollicités qui ne semblent pas encore respecter pleinement les obligations du RGPD.

Les principaux axes d’amélioration résident dans :

• La mise en place plus fréquente de procédures de gestion d’incidents de sécurité ;

• L’assistance de leurs clients, responsables de traitements, en matière d’analyse d’impacts ;

• L’assistance dans les procédures de réponse à l’exercice des droits des personnes.

Les constats réalisés par la CNIL au niveau national ont été confirmés au niveau international par les autorités de protection des 18 autres pays dans lesquels 356 organismes ont été audités.

Ce bilan est l’occasion de rappeler les points de vigilance aux Sous-traitants mais également d’observer que la « mise en conformité » au RGPD implique un travail assidu et constant de la part de l’ensemble des maillons de la chaine des traitements des données.



**********************

(1) 6ème édition de l’opération annuelle qui est une évaluation coordonnée des membres du GPEN (« Global Privacy Enforcement Network »), organisme international facilitant la coopération transfrontalière – l’édition 2017 avait été consacrée aux sites web et applications mobiles de la vie quotidienne dans les secteurs du commerce en ligne, bancaire, du voyage, des réseaux sociaux etc. ;

(2) Intégrateurs de logiciel et hébergeurs, situés sur le territoire français, comprenant tant des très petites entreprises spécialisées que des acteurs majeurs offrant une gamme de service plus large.

(3) L’article 35 du RGPD prévoit la conduite d’une analyse d’impact relative à la protection des données (l’ « AIPD ») lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Aussi, l’AIPD est un outil important pour la responsabilisation des organismes en les aidants à façonner des traitements plus respectueux des données personnelles et à démontrer la conformité au RGPD.

Source: « Sweep 2018 » : premières tendances sur la responsabilisation des sous-traitants informatiques à l’heure du RGPD



Rédigé par Laurent Badiane, Laëtitia Basset le Vendredi 22 Mars 2019

        

Nouveau commentaire :
Facebook Twitter


Une publication du cabinet


S'abonner

Saisissez votre adresse mail pour recevoir nos articles




Nous suivre en ligne

Facebook
Twitter
Rss
iPhone

KGA Avocats sur votre mobile

Store

Facebook + Twitter


Recherche


NOS CHRONIQUES

L’avis de fin d’information ou le début du casse-tête

17/06/2019 - François Klein, Etienne de Castelbajac

La Nouvelle-Calédonie n’échappera pas au délit de favoritisme

05/06/2019 - Marc Sénac de Monsembernard, Etienne de Castelbajac

The GDPR in United States of America

15/05/2019 - S. Keith Moulsdale, Raz Miutescu

The GDPR in Switzerland

15/05/2019 - Julia Bhend - Probst Partner AG

The GDPR in United Kingdom

15/05/2019 - Lauren Webb - Brownejacobson LLP

The GDPR in Czech Republic

15/05/2019 - Tomáš Mudra