Selon une étude menée par le cabinet européen PAC*, le nouveau règlement européen sur la protection des données personnelles, qui entrera en vigueur le 25 mai 2018 est loin d’être une priorité pour les responsables d’entreprises. A moins d’un an de la date butoir, seules 20% des personnes interrogées estiment que le GDPR est un objectif majeur. Si la complexité du règlement n’est pas encore comprise de tous, il se pourrait que les organisations aient recours aux prestataires dans la dernière ligne droite. Dans quelle mesure les prestataires sont-ils concernés par le GDPR ?
Un cadre supérieur européen sur 2 (55%) estime que le règlement européen sur la protection des données personnelles est un objectif mineur ! Selon l’étude « Managing Security in the Digital Era », menée en février 2017, les organisations préféreraient se pré-occuper de réduire les coûts et automatiser les opérations de sécurité face à l’augmentation de la cybercriminalité. La mise en conformité avec le GDPR représente donc la dernière des huit priorités que les 200 responsables européens de la sécurité interrogés assignent aux MSSP (managed security service provider).
Or pour les entreprises européennes le compte à rebours a commencé dans le processus de mise en conformité.
« De nombreuses organisations risquent d’avoir besoin d’une aide extérieure urgente dans ce domaine » commente Paul Fisher analyste de la cybersécurité chez PAC. Les sous-traitants risquent donc d’être sollicités fortement dès janvier 2018.
Quelles sont les obligations des sous-traitants ?
La sécurité des données personnelles devra être assurée par le responsable de traitement mais aussi par le sous-traitant. Leur objectif commun est ainsi d’assurer la confidentialité, l’intégrité, la disponibilité et surtout la notion nouvelle de « résilience des systèmes et des services de traitement des données. »
Les exigences du nouveau règlement a une influence directe sur les futurs contrats conclus avec les prestataires. Jusqu’ici, les sous-traitants avaient une responsabilité contractuelle vis-à-vis du responsable du traitement sous réserve d’un contrat écrit entre les deux parties.
À partir du 25 mai 2018, même en l’absence d’un contrat signé, les sous traitants seront désormais partiellement responsables des traitements de données qu’ils mettent en œuvre pour le compte d’une entreprise tierce. Ils pourront donc être audités voire sanctionnés en cas de non-respect du GDPR.
Quelle sont leurs nouvelles obligations ?
– Tenir un registre des traitements
– En cas de violation de sécurité, mettre en œuvre les procédures et mesures de sécurité
– Contester les instructions du responsable de traiement si elles sont contraires à la loi
– Assister le responsable de traitement en cas de demande d’accès, d’effacement, de portabilité, etc…
Comment les entreprises peuvent d’ores et déjà se mettre en ordre de marche ?
Il est nécessaire, dans un premier temps de faire un état des lieux afin de classifier les données selon leur typologie. Ensuite, un audit et une étude de risque seront envisagés.
* L’étude intitulée « Managing Security in the Digital Era » (Gestion de la sécurité à l’ère du numérique) a été menée, par le cabinet européen PAC en février 2017, dans les pays suivants : le Royaume-Uni, la France, l’Allemagne, les pays nordiques, l’Irlande et les Pays-Bas. Pour cette étude de terrain, des entretiens ont été réalisés auprès de 200 professionnels occupant des fonctions de cadres supérieurs opérant dans les domaines de l’informatique et de la sécurité pour les secteurs de l’industrie, de la distribution, des transports et des services.