Externalisez votre Délégué en Protection des Données

En faisant confiance à un spécialiste, vous vous assurez de bénéficier des dernières évolutions réglementaires tout en maîtrisant votre budget.

Nos Offres Packs :

Selon le nombre de salariés :

Moins de 20 salariés

Assistance juridique générale RGPD
Gestion des demandes de la CNIL
Audit annuel de la conformité au RGPD
Sensibilisation du personnel
Bilan annuel au responsable de traitement
Assistance en cas de faille de sécurité
Tenue des registres de traitements
Etude d'impact sur la Vie Privée*

Entre 20 et 50 salariés

Intervention physique - Jalon(s) de conformité
Assistance juridique générale RGPD
Gestion des demandes de la CNIL
Audit annuel de la conformité au RGPD
Sensibilisation du personnel
Bilan annuel au responsable de traitement
Assistance en cas de faille de sécurité
Tenue des registres de traitements
Etude d'impact sur la Vie Privée*

50 à 150 salariés

Interventions physiques - Jalon(s) de conformité
Assistance juridique générale RGPD
Gestion des demandes de la CNIL
Audit annuel de la conformité au RGPD
Sensibilisation du personnel
Bilan annuel au responsable de traitement
Assistance en cas de faille de sécurité
Tenue des registres de traitements
Etude d'impact sur la Vie Privée*

Sur mesure

Veuillez-nous contacter svp.

Dernières nouvelles

News

L’ICO inflige une méga amende à British Airways pour une faille de sécurité

L’équivalente de la CNIL Britanique, l’ICO, a l’intention d’infliger une amende de 183 Millions de Livres Sterling à British Airways pour avoir négligé la sécurité informatique des données personnelles des utilisateurs de son site web. En effet en septembre 2018, la compagnie signale que depuis juin 2018 le trafic de son site web est détourné vers un site web frauduleux récupérant les données d’environs 500 000 utilisateurs, y compris les identifiants, cartes de paiement et les détails de réservation aussi bien que les noms et adresses. L’enquête a révélé des négligences graves de la part de BT Airways.

Prêt pour un « Hard » Brexit ?

Vous sous-traitez une partie de vos services informatiques ou simplement utilisez un service Cloud hébergé en Grande Bretagne ? Sachez que le Brexit arrive à terme le 29 Mars et qu’il n’est pas sans impact sur la conformité au Règlement Général sur la Protection des Données.

Le Comité Européen à la Protection des Données a publié une note sur ce qu’il convient de faire en cas de « No Deal » ou « Brexit Dur » reprise par la CNIL en Français. Dans cette hypothèse, si vous transférez des données vers la Grande Bretagne il faudra encadrer ceux-ci par des clauses contractuelles spécifiques ou des mécanismes de certifications voire, au sein d’un groupe multinationale, des « Binding Corporate Rules ». Préparez-vous, just in case….

La Responsabilité des Sous-Traitants face au RGPD

Le RGPD a en changé la donne quant aux obligations du sous-traitant et a renforcé son niveau de responsabilité.

On peut regrouper ces obligations en 4 grandes catégories :

  1. la transparence et la traçabilité des traitements (via les clauses contractuelles spécifiques, le registre des traitements, la désignation d’un DPO etc…) ;
  2. la prise en compte des principes de protection des données (licéité et minimisation de la collecte, durée de rétention, etc….) ;
  3. l’obligation de garantir la sécurité et la confidentialité des données (politique de sécurité documentée, audits et tests d’intrusion récurrents, segmentation du réseau avec droits d’accès restrictifs, registre des incidents, etc…) ;
  4. l’obligation d’assistance, de conseil et d’alerte. L’assistance se traduit par des actions à mener par le prestataire en cas d’exercice du droit des personnes (droit d’accès, modification, suppression ou limitation), de contrôle de la CNIL ou d’audit du client.

Pour remplir ses obligations, le sous-traitant en sécurité informatique doit ainsi maitriser les grands principes du RGPD afin de conseiller son client. Il faudra par exemple rappeler à ce dernier l’obligation d’informer ses salariés de la finalité du traitement de données personnelles et de leurs droits par une charte informatique. D’autre part, avant de mettre en place une solution de type « Data Leak Prevention » ou de filtrage Web, le responsable de traitement doit effectuer une Etude d’Impact sur la Vie Privée (« EIVP » ou en anglais « PIA »). Il s’agit d’une étude des risques vis-à-vis des données personnelles. En cas de risque important, le client devra en informer la CNIL et attendre son retour avant de mettre en place la solution décalant d’autant le déploiement par le prestataire. Une formation des forces de vente et des équipes techniques de celui-ci est dont indispensable. Enfin, « le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance » (Article 33 du RGPD), le responsable de traitement doit à partir de ce moment-là notifier la CNIL sous 72 heures. Le sous-traitant doit donc tenir un registre des incidents afin de se protéger et prouver qu’il a notifié le client dès qu’il a pris connaissance de la violation.

En mettant en place et gérant à distance des solutions de Cybersurveillance, les SSII en sécurité traitent forcément des données personnelles voire des données sensibles au sens du RGPD (opinions politiques, religieuses ou orientations sexuelles). Ces prestataires sont donc directement concernés par la réglementation européenne. Se pose alors la question de savoir qui porte la responsabilité ou, autrement dit, qui décide des finalités et des moyens concernant le traitement de données personnelles ? Dans certains cas précisés par la CNIL, le sous-traitant pourra être requalifié de responsable ou co-responsable de traitement notamment selon l’expertise et l’autonomie laissées au sous-traitant, d’où l’importance de bien préciser les responsabilités dans des clauses contractuelles spécifiques.

Quels sont les autres risques pour le sous-traitant en cas de manquement à ces obligations ? Ils sont de 3 ordres : d’image, administratifs et judiciaires.

  • Ce qui est nouveau avec l’application du RGPD, c’est la possibilité pour l’autorité locale d’appliquer des sanctions au responsable de traitement mais aussi au sous-traitant. Ainsi, tout comme le client final, le prestataire sous-traitant pourrait être sanctionné par la CNIL par un avertissement public qui nuirait à l’image et à la réputation de celui-ci, mais aussi par une amende pouvant aller jusqu’à 10 millions d’euros ou 10 % du C.A. mondial de l’exercice précédent.
  • En sus, un juge peut condamner un responsable de traitement ou un co-responsable de traitement (ou son responsable légal s’il s’agit d’une personne morale) à de la prison ferme (5 ans) et une amende allant jusqu’à 300 000 Euros.
  • Enfin, il y a un risque de droit civil pour demande en réparation. Une condamnation civile peut donner lieu à une nullité du contrat de vente et donc un remboursement du client (Cf. arrêt de la Cours de cassation du 25/06/2013). Dans tous les cas, cela peut s’avérer critique pour la survie du sous-traitant concerné.

En résumé, les sous-traitants ont tout intérêt à mettre en haut de leurs priorités leur conformité au RGPD ainsi que la formation de leurs équipes techniques et commerciales avant de se retrouver pris à défaut. Car ceci pourrait mettre en péril leur business en ruinant leur image, sans parler des sanctions financières. En se mettant en conformité, ils ne feraient que renforcer leurs propositions de valeurs et leurs images de professionnels de la sécurité tout en réalisant un checkup complet de leurs procédures.

En continuant à utiliser ce site, vous acceptez l’utilisation des cookies destinés à l'optimisation de votre navigation et uniquement ceux-ci. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à l'usage des cookies de navigation et mesurant l'audience et uniquement ceux-ci. Pour plus d'informations sur le paramétrage de votre navigateur, veuillez vous référer aux conseils de la CNIL : https://www.cnil.fr/fr/cookies-les-outils-pour-les-maitriser

Fermer