« Sweep 2018 » : premières tendances sur la responsabilisation des sous-traitants informatiques à l’heure du RGPD

05 mars 2019

L’édition 2018 du « Sweep » s’est concentrée sur la responsabilisation des acteurs en matière de protection des données. En pratique, la CNIL s’est intéressée au secteur des prestataires de services en informatique. Les résultats des vérifications menées montrent qu’une dynamique est enclenchée et pointent des marges de progression.

Le « Sweep day » est une action coordonnée des autorités de protection des données, membres du GPEN (« Global Privacy Enforcement Network ») qui a pour objet d’auditer, sur un plan international, une pratique ou un secteur présentant un intérêt quant à la protection des données à caractère personnel.

La thématique générale retenue pour l’édition 2018 portait sur la responsabilisation des acteurs en matière de protection des données personnelles. Les 18 autorités de protection des données réparties dans le monde entier ont, dans ce cadre, évalué les outils internes mis en place par les organismes pour garantir une protection optimale des données personnelles traitées. La CNIL a choisi de s’intéresser plus particulièrement aux prestataires de services en informatique.

Constats relevés au niveau national par la CNIL concernant les prestataires de service en informatique

Le rôle clé des sous-traitants

Les sous-traitants ont aujourd’hui un statut spécifique consacré dans le RGPD. Ils ont notamment une obligation de conseil auprès des responsables de traitement sur les questions de sécurité. Il est donc crucial que ces acteurs s’approprient complètement le nouveau cadre légal. Ceci est d’autant plus important dans un contexte où de nombreux organismes mettent en avant la protection des données dans leur argumentaire commercial auprès de leurs clients et prospects.

Afin de faciliter cette démarche, la CNIL propose aux professionnels des outils d’accompagnement à la mise en conformité, à travers la publication de ressources telles que le guide du sous-traitant ou le guide pratique de sensibilisation au RGPD destiné aux PME. Elle invite également les organismes à désigner un délégué à la protection des données (DPO) qui pourra les conseiller et les accompagner dans leur conformité. 

C’est pour cela que, dans le cadre du « Sweep day » 2018, la CNIL s’est plus particulièrement penchée sur les mécanismes mis en œuvre par les sous‑traitants pour répondre à leurs nouvelles obligations résultant de l’entrée en vigueur du RGPD : précision du rôle des parties dans les contrats, transparence, traçabilité, sécurité, assistance, etc. L’objectif était notamment de mesurer le niveau de maturité en matière de protection des données d’acteurs représentatifs. Cet audit, qui a pris la forme de questionnaires écrits, a été réalisé auprès d’un panel de 24 organismes : intégrateurs de logiciel et hébergeurs, situés sur le territoire français, comprenant tant des très petites entreprises spécialisées que des acteurs majeurs offrant une gamme de service plus large. Cet audit a permis de mettre en lumière un certain nombre de bonnes pratiques et de marges de progression.

Les bonnes pratiques relevées lors des vérifications menées sont les suivantes :

  • l’ensemble des organismes sollicités ont mené une analyse afin de déterminer la nécessité de désigner un délégué à la protection des données ;
  • la grande majorité des entreprises ont également étudié la question de leur statut au regard du RGPD, à savoir leur qualité de sous-traitant ou de co-responsable de traitement ;
  • les structures d’envergure ont mis en place des procédures documentées et exhaustives pour diffuser une culture de la protection des données ;
  • les structures les plus avancées ont introduit la protection des données dès la phase de conception dans leurs méthodologies de projet ;
  • la majorité des organismes audités a déclaré avoir mis en œuvre des actions de sensibilisation de leurs salariés à la protection des données, passant par de la documentation jusqu’à des sessions de formation.

Les marges de progression identifiées lors des contrôles sont les suivantes :

  • certaines sociétés interrogées ont mentionné n’avoir mis en place aucune procédure de gestion d’incident de sécurité ;
  • peu d’acteurs assistent leurs clients pour l’élaboration d’analyses d’impact sur la protection des données (AIPD) ou des procédures de réponse à l’exercice des droits des personnes.

En synthèse, l’opération a permis de constater que le secteur des prestataires de service en informatique a globalement pris conscience des évolutions découlant du RGPD. Cela se traduit pour certains par la mise en place d’un calendrier stratégique cohérent et efficace. Pour autant, il apparaît que des acteurs ont encore des marges de progression, notamment pour que les outils ou procédures documentées soient mis en œuvre de manière concrète et effective. Ces progrès doivent impérativement être accomplis pour respecter les exigences du nouveau cadre juridique.

Tendances observées au niveau international

L’opération « Sweep » a conduit à auditer 356 organismes dans 18 pays. Les autorités de protection des données ont pour la plupart choisi de se concentrer sur un secteur d’activité particulier. Les vérifications opérées ont permis d’établir les conclusions générales suivantes :

  • une majorité des organismes audités ont mis en place des équipes dédiées à garantir la conformité à la législation sur la protection des données ;
  • les organismes prévoient, le plus souvent, des formations initiales pour sensibiliser leur personnel à la protection des données sans pour autant mettre à jour les connaissances des équipes sur ce sujet ;   
  • les organismes ont des difficultés à mettre en place des mécanismes de contrôle internes. Près d’un quart d’entre eux n’ont rien prévu ;
  • plus de la moitié des organismes audités ont mis en place de la documentation ainsi qu’une traçabilité des incidents de sécurité sans toutefois, pour certains, avoir prévu de procédures de réponse à ces incidents ;
  • certains organismes n’ont pas prévu les moyens pour traiter les plaintes et les demandes d’exercice des droits des personnes concernées.

Ces constats, similaires à ceux opérés en France par la CNIL, indiquent une prise en compte des principes RGPD dans de nombreux secteurs malgré une marge de progression importante pour certains acteurs.

 

Les mots clés associés à cet article