À propos de Bisnode Solutions Secteurs Savoir RGPD Carrière Contactez-nous
Rechercher
GDPR

ÉPISODE 9: Comment faire une évaluation du risque RGPD des (sous-)contractants ?

15 mai 2018

Responsabilités RGPD de toutes les parties impliquées

Le RGPD différencie deux parties, qui peuvent être tenues responsables dans le cadre du traitement des données personnelles : les contrôleurs de données et les processeurs de données : 

  • Le responsable du traitement "détermine les finalités et les moyens du traitement des données personnelles".
  • Le processeur "traite les données personnelles pour le compte du contrôleur". 

Voici deux passages importants du RGPD concernant les responsabilités (partagées) des acteurs impliqués :

  • « Le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement est effectué conformément au RGPD. »
  • Des amendes seront infligées en ce qui concerne "le degré de responsabilité du responsable du traitement ou du sous-traitant en tenant compte des mesures techniques et organisationnelles mises en œuvre par celles-ci". 

La procédure d'évaluation du risque mise en place par Bisnode pour les nouveaux (sous)processeurs 

Bisnode a mis en place une procédure en deux phases pour jauger les nouveaux (sous) processeurs. Dans un premier temps, nous évaluons les nouveaux partenaires potentiels à travers une évaluation du risque, qui couvre :

  • Quelques sujets généraux et la nature des données concernées.
  • Toute partie tierce impliquée, par exemple les sous-traitants de notre partenaire.
  • Les mesures techniques et organisationnelles concernant :
    • Le transfert de données
    • La gestion des accès et de l’authentification
    • Le stockage et le traitement des données
    • Les politiques de sécurité et mesures organisationnelles
    • La traçabilité du traitement
    • La politique de rétention
    • Le processus de surveillance et de gestion des incidents 

Cette évaluation du risque peut déboucher sur un plan d'action correctif avant l'approbation du fournisseur. Dans un deuxième temps, les fournisseurs approuvés sont invités à signer un Accord de Traitement des Données (en Anglais DPA pour Data Processing Agreement). 

Évaluation à 360 ° du risque des contrôleurs de données et des processeurs 

Bisnode a également appliqué cette procédure d'évaluation du risque pour ses (sous) processeurs existants. À la fois pour évaluer les lacunes potentielles, mais aussi pour exiger d’apporter des mesures correctives. Ceci afin de se conformer aux obligations de documentation liées à la partie sur le principe de responsabilité.

Bien entendu, les clients de Bisnode disposent de leurs propres procédures d'évaluation des risques. C'est pourquoi nous avons, à notre tour, été évalués par de nombreux clients pour lesquels nous traitons des données personnelles.

Comment Bisnode a adapté son offre de solutions pour garantir sa conformité RGPD ? C'est le sujet de notre épisode 10.