RGPD : les sous-traitants de données personnelles peuvent mieux faire

Clément Bohic,
Régulations
sweep-day-2018

Les sous-traitants de données personnelles ne respectent pas encore pleinement les obligations découlant du RGPD, d’après la Cnil.

Les organismes auxquels le RGPD confère le statut de sous-traitant de données personnelles ne répondent pas encore pleinement aux obligations qui en découlent.

Ce constat ressort des éléments que la Cnil communique en guise de premier bilan du « Sweep day » 2018.

C’était la sixième édition de cette opération annuelle coordonnée par des autorités de protection des données membres du GPEN (Global Privacy Enforcement Network, agissant au sein de l’OCDE).

La Cnil s’est intéressée à un secteur en particulier : celui des prestataires de services en informatique.

L’audit mené par ses soins a pris la forme de questionnaires écrits soumis à 24 organismes : des intégrateurs de logiciels et des hébergeurs.

Si la démarche a révélé une « marge de progression » dans la mise en œuvre concrète et effective des outils et des procédures, elle a aussi laissé apparaître un certain nombre de « bonnes pratiques ».

Les DPO plus que les AIPD

Des « très petites entreprises spécialisées » aux « acteurs majeurs offrant une gamme de services plus large », tous les organismes interrogés ont mené une analyse pour savoir s’ils devaient désigner un DPO.

« La majorité » ont par ailleurs déclaré avoir mis en œuvre des actions de sensibilisation de leurs salariés (documentation, formation…).

Quant à mettre en place des procédures documentées pour diffuser une « culture de la protection des données », seules les plus grandes structures en sont à ce stade.

Dans la catégorie « marge de progression », certains organismes ne disposent d’aucune procédure de gestion des incidents de sécurité. Ils sont par ailleurs peu nombreux à assister leurs clients dans l’élaboration des analyses d’impact préalables à la mise en œuvre de certains traitements (AIPD).

La tendance est similaire à l’échelle des 18 pays étudiés. Sur 356 organismes, « plus de la moitié » opèrent une traçabilité des incidents… sans toujours disposer de procédures de réponse.

« Le plus souvent », des formations initiales sont prévues pour sensibiliser le personnel. De là à mettre à jour les connaissances des équipes, c’est une autre affaire.

Photo d’illustration © Andrea Danti – Shutterstock.com

Lire aussi :

RGPD : la Cnil actualise son modèle de registre de traitements pour les PME

FaceApp : le phénomène interpelle la Cnil

RGPD : la Cnil a le consentement du GESTE mais pas de La Quadrature du Net

Clément Bohic
Auteur : Clément Bohic
Lire la biographie de l´auteur  Masquer la biographie de l´auteur