01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Responsables de traitement & sous-traitants : l’impact d’un audit de l’existant sur votre activité

RGPD audit HAAS AVOCATS
  • Actualité juridique, Base de données, Data, Données de santé, Données personnelles, Droit communautaire, Droit de l'Internet, Fichier informatique, Information et libertés, Libertés individuelles, Loi Informatique et libertés, Propriété intellectuelle

Par Gérard HAAS, Florian PERRETIN et Alric HURSTEL

RGPD oblige, tous les acteurs traitant des données à caractère personnel doivent cartographier, répertorier et, le cas échéant, modifier les traitements de données qu’ils mettent en œuvre. Si certaines entreprises sont déjà prêtes pour la transition engendrée par la nouvelle réglementation, toutes ne le sont pas. Pourtant, dans une logique de conformité « globale », les partenaires se verront imposer de véritables « examens de santé RGPD ». Démontrer votre sérieux auprès de votre partenaire afin de conserver avec lui vos relations privilégiées, ou attaquer de nouveaux marchés en vous démarquant de vos concurrents par votre conformité, voilà les objectifs du diagnostic de l’existant qui permet d’anticiper les questionnements et d’apporter des réponses claires sur les traitements que vous mettez en œuvre.

 

I/ Responsable de traitement et sous-traitant : tous concernés !

Véritable omniscient, l’audit des traitements concerne toutes les entreprises et les organismes publics collectant ou traitant des données, que ce soit pour leur propre compte ou pour le compte d’un tiers.

Responsable de traitement et sous-traitant devront tenir un registre des activités de traitement comportant un certain nombre d’informations obligatoires (art. 30 RGPD) parmi lesquelles on retrouve pour chaque traitement :

  • le nom et les coordonnées des responsables de traitements, co-responsables de traitement et sous-traitants intervenant dans le traitement ;
  • les catégories de données traitées ;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale ;
  • une description générale des mesures de sécurité techniques et organisationnelles.

Le responsable de traitement devra, de surcroît, fournir dans un registre de traitement renforcé des informations supplémentaires concernant :

  • les finalités du traitement ;
  • une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données.

Cependant le sous-traitant n’est pas en reste car, parmi ses obligations, il devra mettre à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des dispositions du RGPD et permettre la réalisation d’audits.

 

II/ Les questions clés auxquelles vous devrez répondre

En pratique, ces exigences légales ne sont qu’un minima, et bien souvent le partenaire qui vous sollicitera formulera des requêtes plus avancées, en particulier si vous êtes « sous-traitant ». Ainsi, ce dernier verra ses obligations informatives calquées sur celles du responsable de traitement.

L’audit aura alors une dimension technique non-négligeable :

  • cartographie de vos traitements ;
  • description du process mis en œuvre ;
  • canaux d’obtention des informations ;
  • types de données collectées (« par défaut » / « optionnelles ») ;
  • mesures de purge ;
  • modalités de prises de décision automatique ;

En plus des questions relatives aux traitements, vous devrez également répondre de votre sécurité. En effet, le RGPD prévoit que lorsqu’un traitement est effectué pour le compte d’un responsable de traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences légales et garantisse la protection des droits de la personne concernée. Il en va de même en pratique lorsque deux responsables de traitement interviennent conjointement sur un même traitement.

Pour répondre à ces questions de sécurité, rien de mieux que le Plan d’assurance sécurité qui répertorie toutes les références de sécurité sur lesquelles s’appuiera votre entreprise pour assurer la sécurité de ses services.

 

III/ La PIA : le « Super-Audit » pour vos traitements sensibles

L’étude d’impact sur la vie privée (« PIA », pour Privacy Impact Assessment) est un document clé dans le cadre de la gestion des risques liés au traitement des données à caractère personnel. Cela concerne tout autant les responsables du traitement que les sous-traitants, ces deux acteurs devant justifier de leur démarche de conformité et des mesures qu’ils ont choisies.

La PIA vise à s’assurer qu’un traitement dit « à risque » (traitement de masse, données sensibles, profilage, etc.) :

  • D’une part, respecte les droits fondamentaux des personnes ;
  • D’autre part, minimise les risques en termes de sécurité et de violation des obligations légales.

Elle s’inscrit dans une démarche de transparence et de confiance vis-à-vis des utilisateurs à travers la justification et la mise en avant de garanties de sécurité et de confidentialité des données, participant au développement d’une culture de la protection de la vie privée.

Il s’agit à la fois d’une mesure de conformité juridique et d’un outil de vérification de « robustesse technique » : des tests d’intrusion doivent en effet être menés pour s’assurer et garantir la sécurité des données (sites web, application mobile, IoT, intranet etc.).

Si vous êtes responsable de traitement, la PIA permet d’assurer la conformité de vos traitements dès le moment de leur conception.

Si vous êtes sous-traitant, fournisseur d’une solution ou par exemple d’un objet connecté, justifier d’une PIA validée sur le plan juridique comme sur le plan technique permettra de renforcer la confiance de vos clients et partenaires, de passer les fourches caudines des appels d’offres ou d’apporter un niveau de garanties adéquat aux demandes des directions juridiques.

 

Fort d’une expertise reconnue par la CNIL au travers du label « Audit de traitement », le Cabinet HAAS Avocats vous accompagne dans la réalisation de votre audit de l’existant, PIA et se tient à votre disposition pour vous assister dans la conformité RGPD de vos traitements.

Pour plus d’informationscliquez-ici

 

 

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com