Gouvernance logicielle, Sécurité du SI

Le RGPD et la responsabilité des organisations sur leurs sous traitants

Obligations réglementaires, cybercriminalité, scandales d’atteinte à la vie privée,tous les ingrédients sont réunis pour vous exposez aux risques. Que vous soyez un géant du Net ou une simple TPE/PME, vous avez la nécessité de protéger la vie privée de vos utilisateurs et utilisatrices.

Avec le RGPD, les organisations ne peuvent plus se contenter de réparer les atteintes aux donnés personnelles lorsqu’elles surviennent, mais doivent au contraire tout mettre en oeuvre afin d’éviter que ces menaces arrivent.

Le principe de responsabilité ou accountability en anglais vous rend comptable des actions de protection et de sécurité des données, sous peine de sanction administrative et financière pour tout manquement constaté aux règles de protection des données personnelles édictées par le règlement européen et la loi française dite loi CNIL 2. Et ce sans préjudice des actions en responsabilité qui pourront ensuite être menées par les personnes ayant subi un préjudice important du fait de la violation, de leurs données personnelles.

Le concept de protection de la vie privée dès la conception impose aux entreprises d’assurer des mesures préventives plutôt que correctives. Elles doivent trouver des solutions en amont, au niveau de la conception des produits et services, sans attendre l’existence d’une faille de sécurité pour agir.

Non seulement les responsables de traitement doivent s’assurer de la conformité de leurs process et solutions créés en interne, mais aussi de la conformité des solutions et outils développés par leurs sous-traitants. Vos logiciels, qu’ils soient on premise (achat de licence et installation en interne), hébergés (achat licence et hébergement externe) ou en mode Saas (abonnement à l’usage dans le Cloud) devront tous à différents niveaux intégrer la notion de Privacy by design.

Le principe de protection de la vie privée par défaut impose aux entreprises de paramétrer par défaut leurs produits et services avec un haut niveau de protection avant toute utilisation. Cela signifie que notamment que lors de la première utilisation de vos produits ou services, l’utilisateur ne devrait pas avoir besoin de modifier les paramètres pour renforcer la protection de ses données ; tout devrait être déjà préconfiguré. Cette protection “par défaut” garantit également aux utilisateurs d’éviter que leurs données ne soient utilisées dans un but autre que celui pour lequel la collecte a été effectuée.

 

Par ces propos, la CNIL rappelle que les organisations en leur qualité de responsable de traitement du fait des données personnelles qu’elles collectent et traitent au cours de leurs activités légitimes, sont aussi responsables de tout le cycle de vie des données qu’ils ont collectées et traitées ou faites traiter par d’autres, de son entrée (collecte) à sa sortie (extinction, destruction, transmission).

Ce principe de sélection adéquate de vos sous-traitants concerne le choix de vos outils logiciels et web

Plus concrètement au regard du RGPD, les organisations sont responsables de la maîtrise de leurs données personnelles de bout en bout de la chaîne et donc des sous-traitants informatiques (éditeurs et/ou intégrateurs)  et produits qu’elles ont sélectionnés à travers les solutions informatiques produits qu’ils ont choisi .

Sur le plan juridique, les éditeurs de logiciels et applicatifs sont considérés comme des sous-traitants pour le RGPD. Ils traitent des données personnelles pour le compte d’un client désigné sous le terme de responsable du traitement.

Le client, c’est-à-dire vous, est généralement considéré comme le seul « Responsable de Traitement » car c’est vous qui déterminez les finalités et les moyens du traitement de données personnelles confié au logiciel qui vous est mis à disposition par votre fournisseur.  Votre fournisseurs de logiciel (le sous-traitant donc) ne fait lui qu’exécuter vos ordres.

Ce relation de subordination entre vous (Responsable de traitement) et votre sous-traitant (votre éditeur/intégrateur) signifie tout simplement que vous êtes bien :

  • responsable des données personnelles que vous collectez et traitez
  • responsable de vos sous traitants (éditeurs./intégrateurs) qui collectent et traitent des données pour votre compte et sur vos instructions.

 

Les responsables de traitement doivent s’assurer que les éditeurs et intégrateurs sélectionnés présentent des garanties suffisantes quant au respect du droit de la protection des données. Vous devez donc soigneusement comparer et choisir vos fournisseurs de logiciels. En revanche, la non-conformité d’un logiciel ou service Cloud à la règle du Privacy by Design – c’est-à-dire l’obligation de proposer des solutions conformes à la législation – pourra ainsi justifier l’éviction systématique d’un appel d’offres des prestataires les moins respectueux du droit de la protection des données ou la rupture des pourparlers contractuels.

 

Nos prestations d’accompagnement

Audit et contrôle de conformité logicielle de vos applications informatiques 

Nous vous accompagnons pour interroger les éditeurs/intégrateurs sur la conformité de leurs solutions logicielles au regard des exigences de protection des données personnelles édictées par le RGPD (Privacy By Design et Privacy By Default). 

Lors de l’audit, nous vérifions que les principes et fonctionnalités attendues par le RGPD existent et qu’elles répondent bien aux exigences de traitement et de protection des données personnelles des personnes dans leur conception et avec un niveau de sécurité par défaut élevé (chiffrement des données, pseudonymisation, anonymisation, purge automatisée de données pour l’exercice du droit à l’oubli, portabilité des données, sécurité des accès renforcée, sécurisations des flux de transfert de données, cryptage des sauvegardes et limitation de leur conservation, etc…) 

Conduite d’études d’impact (PIA) 

Lorsqu’un risque élevé d’atteinte à la protection et à la confidentialité des données personnelles est identifié sur un traitement  précis, une activité à risque au sens du RGPD, une étude d’impact (PIA en anglais) doit être menée, avant même la lancement du traitement ou sinon le traitement concerné doit être stoppé en attente des résultats de l’étude. Le RGPD le rend d’ailleurs obligatoire dans un certain nombre de cas, notamment de traitement de données sensibles sur les individus. 

Nous vous accompagnons dans cette démarche, en relation avec vos prestataires et nos partenaires, pour coordonner les parties prenantes, identifier les menaces d’atteinte et de violation des données personnelles, évaluer la probabilité que chaque évènement se produise (taux de survenance), son taux d’impact (taux de gravité) sur les personnes ainsi que les mesures à mettre en oeuvre, tant organisationnelles que techniques, pour annuler ou minimiser le risque et ses conséquences. Cette démarche implique d’être déclarée et suivie en relation avec l’autorité de contrôle (CNIL).  

Mise en place d’une procédure de gestion d’incidents

Que faire en cas de violation des données personnelles ?  nous vous accompagnons pour mettre en place une procédure de gestion des incidents. identifier les menaces, les risques, leur réalisation (survenance), sa gravité (impact sur les personnes), la procédure de déclaration à la CNIL et aux acteurs parties prenantes, l’information des personnes concernées, la gestion des incidents , la création d’un registre spécifique de violation des données personnelles, le suivi de la résolution, le rôle de la CNIL Etc…  

Bonnes pratiques et cybersécurité du Système d’information 

Protection des données et sécurité des données font appel à deux notions différentes. dans le premier cas, il s’agit de respecter les principes de traitement comme la transparence, la licéité, les droits des personnes physiques concernées, la sécurité des données, la limitation des finalités, la minimisation des données, la pertinence et la durée de conservation d’une donnée, etc..

La sécurité des données constitue donc l’un des piliers essentiels dans la démarche de protection des données à caractère personnel et passe par la garantie d’un niveau de sécurité adapté au risque numérique et digital.

Nous vous accompagnons, à partir d’un audit initial, pour vous livrer des recommandations et les bonnes pratiques à mettre en oeuvre au sein de votre organisation, avec de surcroît une phase d’information et de sensibilisation auprès des personnels pour accompagner le changement. 

 

Protection du patrimoine informationnel de l’organisation

Au delà de la sécurisation des données personnelles, la patrimoine informationnel de l’entreprise est  au coeur même de sa survie. Notre démarche d’accompagnement portera sur plusieurs aspects : identification et sauvegarde des données, stratégique, sensibles ou opérationnelles de l’organisation, procédures de gestion des risques et évènements, constitution de cellules de gestion de crise, établissement des procédures, plans de continuité opérationnelle, Etc… 

Vous souhaitez échanger sur votre démarche de sécurisation et l’intégrité actuelle de vos traitements de données personnelles ? 
Les informations recueillies à partir de ce formulaire permettent le traitement de votre demande. Elles sont enregistrées et transmises au service commercial de Projecteec, afin de vous répondre. En savoir plus sur le traitement de mes données personnelles : https://www.projecteec.com/charte-donnees-personnelles/