Les organismes auxquels le RGPD confère le statut de sous-traitant de données personnelles ne répondent pas encore pleinement aux obligations qui en découlent.
Ce constat ressort des éléments que la Cnil communique en guise de premier bilan du « Sweep day » 2018.
C’était la sixième édition de cette opération annuelle coordonnée par des autorités de protection des données membres du GPEN (Global Privacy Enforcement Network, agissant au sein de l’OCDE).
La Cnil s’est intéressée à un secteur en particulier : celui des prestataires de services en informatique.
L’audit mené par ses soins a pris la forme de questionnaires écrits soumis à 24 organismes : des intégrateurs de logiciels et des hébergeurs.
Si la démarche a révélé une « marge de progression » dans la mise en œuvre concrète et effective des outils et des procédures, elle a aussi laissé apparaître un certain nombre de « bonnes pratiques ».
Des « très petites entreprises spécialisées » aux « acteurs majeurs offrant une gamme de services plus large », tous les organismes interrogés ont mené une analyse pour savoir s’ils devaient désigner un DPO.
« La majorité » ont par ailleurs déclaré avoir mis en œuvre des actions de sensibilisation de leurs salariés (documentation, formation…).
Quant à mettre en place des procédures documentées pour diffuser une « culture de la protection des données », seules les plus grandes structures en sont à ce stade.
Dans la catégorie « marge de progression », certains organismes ne disposent d’aucune procédure de gestion des incidents de sécurité. Ils sont par ailleurs peu nombreux à assister leurs clients dans l’élaboration des analyses d’impact préalables à la mise en œuvre de certains traitements (AIPD).
La tendance est similaire à l’échelle des 18 pays étudiés. Sur 356 organismes, « plus de la moitié » opèrent une traçabilité des incidents… sans toujours disposer de procédures de réponse.
« Le plus souvent », des formations initiales sont prévues pour sensibiliser le personnel. De là à mettre à jour les connaissances des équipes, c’est une autre affaire.
Photo d’illustration © Andrea Danti – Shutterstock.com
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
