Les organismes auxquels le RGPD confère le statut de sous-traitant de données personnelles ne répondent pas encore pleinement aux obligations qui en découlent.
Ce constat ressort des éléments que la Cnil communique en guise de premier bilan du « Sweep day » 2018.
C’était la sixième édition de cette opération annuelle coordonnée par des autorités de protection des données membres du GPEN (Global Privacy Enforcement Network, agissant au sein de l’OCDE).
La Cnil s’est intéressée à un secteur en particulier : celui des prestataires de services en informatique.
L’audit mené par ses soins a pris la forme de questionnaires écrits soumis à 24 organismes : des intégrateurs de logiciels et des hébergeurs.
Si la démarche a révélé une « marge de progression » dans la mise en œuvre concrète et effective des outils et des procédures, elle a aussi laissé apparaître un certain nombre de « bonnes pratiques ».
Des « très petites entreprises spécialisées » aux « acteurs majeurs offrant une gamme de services plus large », tous les organismes interrogés ont mené une analyse pour savoir s’ils devaient désigner un DPO.
« La majorité » ont par ailleurs déclaré avoir mis en œuvre des actions de sensibilisation de leurs salariés (documentation, formation…).
Quant à mettre en place des procédures documentées pour diffuser une « culture de la protection des données », seules les plus grandes structures en sont à ce stade.
Dans la catégorie « marge de progression », certains organismes ne disposent d’aucune procédure de gestion des incidents de sécurité. Ils sont par ailleurs peu nombreux à assister leurs clients dans l’élaboration des analyses d’impact préalables à la mise en œuvre de certains traitements (AIPD).
La tendance est similaire à l’échelle des 18 pays étudiés. Sur 356 organismes, « plus de la moitié » opèrent une traçabilité des incidents… sans toujours disposer de procédures de réponse.
« Le plus souvent », des formations initiales sont prévues pour sensibiliser le personnel. De là à mettre à jour les connaissances des équipes, c’est une autre affaire.
Photo d’illustration © Andrea Danti – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…