Les organismes auxquels le RGPD confère le statut de sous-traitant de données personnelles ne répondent pas encore pleinement aux obligations qui en découlent.
Ce constat ressort des éléments que la Cnil communique en guise de premier bilan du « Sweep day » 2018.
C’était la sixième édition de cette opération annuelle coordonnée par des autorités de protection des données membres du GPEN (Global Privacy Enforcement Network, agissant au sein de l’OCDE).
La Cnil s’est intéressée à un secteur en particulier : celui des prestataires de services en informatique.
L’audit mené par ses soins a pris la forme de questionnaires écrits soumis à 24 organismes : des intégrateurs de logiciels et des hébergeurs.
Si la démarche a révélé une « marge de progression » dans la mise en œuvre concrète et effective des outils et des procédures, elle a aussi laissé apparaître un certain nombre de « bonnes pratiques ».
Des « très petites entreprises spécialisées » aux « acteurs majeurs offrant une gamme de services plus large », tous les organismes interrogés ont mené une analyse pour savoir s’ils devaient désigner un DPO.
« La majorité » ont par ailleurs déclaré avoir mis en œuvre des actions de sensibilisation de leurs salariés (documentation, formation…).
Quant à mettre en place des procédures documentées pour diffuser une « culture de la protection des données », seules les plus grandes structures en sont à ce stade.
Dans la catégorie « marge de progression », certains organismes ne disposent d’aucune procédure de gestion des incidents de sécurité. Ils sont par ailleurs peu nombreux à assister leurs clients dans l’élaboration des analyses d’impact préalables à la mise en œuvre de certains traitements (AIPD).
La tendance est similaire à l’échelle des 18 pays étudiés. Sur 356 organismes, « plus de la moitié » opèrent une traçabilité des incidents… sans toujours disposer de procédures de réponse.
« Le plus souvent », des formations initiales sont prévues pour sensibiliser le personnel. De là à mettre à jour les connaissances des équipes, c’est une autre affaire.
Photo d’illustration © Andrea Danti – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…