Pour gérer vos consentements :
Categories: Régulations

RGPD : les sous-traitants de données personnelles peuvent mieux faire

Les organismes auxquels le RGPD confère le statut de sous-traitant de données personnelles ne répondent pas encore pleinement aux obligations qui en découlent.

Ce constat ressort des éléments que la Cnil communique en guise de premier bilan du « Sweep day » 2018.

C’était la sixième édition de cette opération annuelle coordonnée par des autorités de protection des données membres du GPEN (Global Privacy Enforcement Network, agissant au sein de l’OCDE).

La Cnil s’est intéressée à un secteur en particulier : celui des prestataires de services en informatique.

L’audit mené par ses soins a pris la forme de questionnaires écrits soumis à 24 organismes : des intégrateurs de logiciels et des hébergeurs.

Si la démarche a révélé une « marge de progression » dans la mise en œuvre concrète et effective des outils et des procédures, elle a aussi laissé apparaître un certain nombre de « bonnes pratiques ».

Les DPO plus que les AIPD

Des « très petites entreprises spécialisées » aux « acteurs majeurs offrant une gamme de services plus large », tous les organismes interrogés ont mené une analyse pour savoir s’ils devaient désigner un DPO.

« La majorité » ont par ailleurs déclaré avoir mis en œuvre des actions de sensibilisation de leurs salariés (documentation, formation…).

Quant à mettre en place des procédures documentées pour diffuser une « culture de la protection des données », seules les plus grandes structures en sont à ce stade.

Dans la catégorie « marge de progression », certains organismes ne disposent d’aucune procédure de gestion des incidents de sécurité. Ils sont par ailleurs peu nombreux à assister leurs clients dans l’élaboration des analyses d’impact préalables à la mise en œuvre de certains traitements (AIPD).

La tendance est similaire à l’échelle des 18 pays étudiés. Sur 356 organismes, « plus de la moitié » opèrent une traçabilité des incidents… sans toujours disposer de procédures de réponse.

« Le plus souvent », des formations initiales sont prévues pour sensibiliser le personnel. De là à mettre à jour les connaissances des équipes, c’est une autre affaire.

Photo d’illustration © Andrea Danti – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago