TELECOM PARIS ALUMNI
Retour aux actualités
Article suivant Article précédent

Revue TELECOM 185 - Protection des données personnelles, nouvel enjeu de la sous traitance et de la chaîne logistique Le point de vue du consultant

Articles Revue TELECOM

-

15/06/2017

PROTECTION DES DONNEES

PERSONNELLES, NOUVEL

ENJEU DE LA SOUS

TRAITANCE ET DE

LA CHAÎNE LOGISTIQUE

le point de vue du consultant

 

Par Thibault Lapédagne (2013) dans la revue TELECOM n° 185

 

Le RGPD va renforcer les obligations relatives à la gestion de la donnée personnelle. 
L’ensemble des parties prenantes sont concernées, supply chain y compris. 
En quoi cette nouvelle réglementation bouleverse-t-elle la gestion du risque ?
Comment s’y préparer ?

 

Le contexte réglementaire : grand écart entre harmonisation et spécificités locales

Jusqu’à l’entrée en vigueur prochaine du RGPD1, c’est à la directive 95/46/CE qu’incombe la lourde tâche d’harmoniser au niveau européen l’obligation de respect de la vie privée des individus. Elle s’applique majoritairement aux responsables de traitements2.

Dans ce cadre, les obligations qui incombent au responsable de traitement sont souvent, par l’intermédiaire de contrats, transférées aux personnes qui assurent le traitement des données. Ceux-ci peuvent être des sous-traitants.

Lorsque ces transferts dépassent les frontières de l’Union Européenne, les organisations doivent alors faire face aux spécificités des lois locales en termes de protection de la vie privée et ainsi décliner en cohérence le transfert de responsabilité aux acteurs qui traitent les données, ajoutant coût et complexité à la maîtrise de la supply chain.

 

RGPD : la supply chain, acteur identifié du respect de la vie privée

Le RGPD dont la mise en application est prévue pour le 25 mai 2018 propose un changement de paradigme dans les responsabilités liées à un traitement.

Le principe d’accountability change la donne car le responsable de traitement doit être en mesure de démontrer que les traitements de données à caractère personnel sont effectués conformément au règlement (Article 24) et ce même s'il sous-traite ces dits traitement. Cela comprend les responsabilités classiques liées à la mise en œuvre d’un traitement comme le respect de la finalité du traitement, l’information et exercice des droits des personnes concernées, la protection des données à caractère personnel… mais aussi le choix des sous-traitants. Aussi ces derniers doivent « présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (Article 28).

 

 

 

 

 

 

 

 

 

 

De ce fait, la sécurité du traitement n’est plus l’affaire unique du responsable de traitement, mais également celle du sous-traitant (Article 32) qui se voit notamment limité dans la réalisation de sous-traitance de second niveau afin d’éviter la propagation non maîtrisée du risque lié à la protection des données à caractère personnel.

Ces nouvelles obligations, couplées au renforcement des amendes en cas de non-conformité vont bouleverser la gestion du risque dans la supply chain puisque la signature d’un contrat type entre le responsable de traitement et le sous-traitant ne suffit plus. Les organisations doivent refondre leur processus d’achat.

 

L’évolution du processus d’achat pour intégrer la privacy dans la supply chain

Les étapes du processus d’achat doivent évoluer :

 

• Due diligence

La Due diligence doit permettre à l’acheteur de sélectionner en conscience un fournisseur, engagé dans la protection des données à caractère personnel. L’historique évaluation du niveau de sécurité des fournisseurs devra pour cela être complétée par des questions concernant le respect de la vie privée. Concrètement il peut être attendu la production de preuves concernant l’engagement du fournisseur et de ses employés via un code de bonne conduite, l’identification d’une gouvernance de la donnée via la nomination d’un Data Protection Officer, etc.

Si le traitement concerné revêt une sensibilité particulière pour la vie privée des individus, un Privacy Impact Assessment pourra être réalisé conjointement avec le sous-traitant. Il visera à identifier les risques particuliers que fait courir le traitement ainsi que les mesures appropriées pour les traiter (contrôle d’accès, chiffrement ou désensibilisation des données, durée de conservation des données et processus de destruction, etc.).

Dans la pratique, la Due diligence sur le respect de la vie privée pourra être une déclinaison du processus de Privacy By Design (Conformité dès la conception) que les organisations devront mettre en place afin de se conformer au RGPD.

 

• Contractualisation et monitoring

Enfin, un contrat spécifique devra être rédigé pour assurer la mise en place des mesures appropriées.

Le responsable de traitement pourra exiger un reporting régulier de son sous-traitant sur le respect des mesures inscrites (enregistrement des accès aux données par les opérateurs, PV de suppression des données, etc.). La bonne mise en œuvre de ces mesures devra pouvoir être auditée en s’appuyant sur une clause d’audit intégrée aux contrats.

De leur côté, en cas de violation de données, les sous-traitants devront assurer la bonne mise en œuvre d’un processus de notification auprès du sous-traitant et ne pourront plus se reposer sur son unique responsabilité. Il est aussi peu probable que les clauses de limitation de responsabilités les protègent des amendes du régulateur.

C’est donc l’ensemble de la supply chain qui est bouleversée par le RGPD. D’une part les processus d’achat doivent évoluer dans les grandes organisations. D’autre part, les fournisseurs doivent revoir leurs business cases en prenant en compte le risque de conformité. Cela les obligera à investir dans la sécurité de l’information et la mise en place de l’organisation et des processus qui permettront de respecter leurs nouvelles obligations. 

 

1/ RGPD : Règlement Général pour la Protection des Données
2/ Personne, autorité publique, service ou l'organisme qui détermine les finalités et moyens mis en œuvre pour traiter des données à caractère personnel

 

Biographie de l'auteur

 

Thibault Lapédagne (2013) a acquis, en tant que consultant au sein du cabinet Wavestone, une compréhension tant théorique que pratique de la mise en conformité de grandes organisations aux réglementations sur la protection des données. Il a récemment rejoint EcoVadis, une agence de notation dans le domaine de la RSE afin de développer une nouvelle activité en lien avec la protection des données dans la supply chain. Thibault est ingénieur diplômé de Télécom ParisTech.

 

 

473 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Revue TELECOM 194 - Editorial Laura Peytavin et Yves Poilane

User profile picture

Rédaction Revue TELECOM

13 novembre

Articles Revue TELECOM

Revue TELECOM 194 - Sevenhugs

User profile picture

Rédaction Revue TELECOM

12 novembre

Articles Revue TELECOM

Revue TELECOM 194 - Bye Bye Barrault

User profile picture

Rédaction Revue TELECOM

12 novembre