Lors du Sweep Day 2018, un événement regroupant les autorités de protections des données membres du GPEN (« Global Privacy Enforcement Network »), comprenant la CNIL, s’est reposée la question de la protection des données personnelles et notamment de la responsabilité des prestataires de services informatiques dans ce domaine.
Il a été rappelé la place importante des sous-traitants au niveau de la protection des données et de l’obligation d’accompagner les responsables de traitement sur le sujet de la sécurité.
Qu’est-ce qu’un Responsable de Traitement ?
Le responsable de traitement est celui « qui détermine les finalités et les moyens d’un traitement » (article 4 du règlement européen–définitions).
La CNIL met à disposition des ressources à destination des PME et TPE et des sous-traitants et rappelle l’intérêt de désigner un Délégué à la Protection des Données (DPO).
Etat des lieux des mesures appliquées
La CNIL a interrogé un panel de 24 organismes sous-traitants français de toutes envergues afin de contrôler l’avancement des mesures prises pour répondre aux nouvelles exigences de la RGPD.
Cette enquête a montré que l’information et la sensibilisation à la nécessité de protection des données semblent avoir été bien mises en œuvre par la majorité des organismes. Procédures, documentation et affectation d’équipes sur les questions de protection des données ont bien été mises en place.
Toutefois, le suivi, l’actualisation et l’accompagnement dans l’analyse et le contrôle interne de ces actions restent encore des points à améliorer. De même que la mise en place de procédures de gestion des incidents, des plaintes et des demandes d’exercice des droits des personnes.
En conclusion
Il est nécessaire de ne pas se reposer sur ses acquis et considérer que les procédures définies sont suffisantes pour respecter les nouvelles exigences en termes de protections des données.
Les faire évoluer et s’assurer qu’elles sont concrètement et correctement appliquées par l’ensemble des acteurs de l’entreprise est impératif.
Prévoir les moyens de traiter les incidents, les plaintes et les demandes d’exercice des droits est aussi primordial pour satisfaire les exigences de la RGPD.