Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Baromètre du RGPD du 1er trimestre 2018 : Les sous-traitants fusibles du RGPD ?

mai 2018 par Marc Jacob et Jean-Yves Prosnier

Pour cette nouvelle édition du baromètre* RGPD, 135 entreprises hexagonales, tant du secteur privé que public, ont répondu de façon anonyme au questionnaire élaboré par Global Security Mag, avec le concours de l’AFCDP, du CLUSIF, de l’ADPO et le support de Qualys.

Ce nouveau questionnaire abordait deux éléments principaux de la mise en conformité RGPD : la conformité des sous-traitants et les Labels de la CNIL. Les entreprises ont bien intégré que les sous-traitants vont devenir des partenaires solidaires pour partager les risques inhérents à la protection des données personnelles. Ils pourraient peut-être servir de fusible en cas de problème de conformité au RGPD. Mais trop souvent les donneurs d’ordres oublient qu’au final ils seront aussi responsables en cas de manquement. Quant aux labels de la CNIL, les avis sont partagés, mais la tendance va vers plus d’utilisateurs que de certifiés.

* Résultats au 15 février de l’étude réalisée du 1er octobre 2017 au 15 février 2018

Présentation de l’échantillon

• 37% de grands groupes (plus de 5 000 employés)
• 11% d’ETI
• Et 52% de PME/PMI de moins de 1 500 salariés

• 59% en provenance du secteur privé
• 37% du secteur public
• 4% d’associations

Les catégories professionnelles les plus représentées :
• 44% de RSSI/CISO
• 18% de CIL et 26% de DPO ou futurs DPO

Avant d’entrer dans le vif du sujet, il faut noter que l’indice de compréhension personnelle des répondants relative au RGPD est en hausse avec 72,9 sur 100. Cela montre un progrès notable dans la compréhension des enjeux et donc certainement dans la manière de conduire le projet de mise en conformité. Le niveau de compréhension et de support de la part de la direction générale a, quant à lui, été évalué à près de 47 (sur cent), ce qui semble démontrer que le RGPD est aujourd’hui pris plus sérieusement en compte au niveau du COMEX. Toutefois, ces niveaux de compréhension ne se traduisent pas toujours par des actions concrètes comme le montrent les résultats de notre nouveau baromètre.

Ainsi, l’indice de confiance relatif à la possible conformité de leur entreprise avec le règlement au 25 mai 2018 s’effondre encore en passant de 11% au trimestre dernier à 7,4%. Dans le même temps, une conformité partielle serait envisagée pour près de 63% des répondants contre 57% il y a quelques mois. Il semble donc que plus l’échéance du 25 mai approche, plus la prise de conscience des entreprises vis-à-vis de l’effort à réaliser est prégnante…

Près de 90% se sont penchées sur la révision des contrats avec leurs sous-traitants TABLEAU : Intégrez-vous des clauses RGPD dans les contrats que vous passez avec vos sous-traitants ?

Près de 90% des entreprises qui ont répondu à notre questionnaire ont soit déjà révisé leurs contrats avec leurs sous-traitants (3,7%), soit systématiquement intégré les nouvelles clauses liées au RGPD dans leurs nouveaux contrats (22%), soit enfin sont en train de recenser les contrats concernés dans la majorité des cas avec près de 63% d’entre elles. Les entreprises semblent bien motivées pour déporter les risques sur leurs sous-traitants et mettent les bouchées doubles pour être en conformité avec le RGPD.

TABLEAU : Dans les contrats passés avec vos sous-traitants, sont-ils formellement tenus de vous notifier toute violation des données personnelles que vous leur avez confiées ?

Malgré les efforts réalisés pour modifier les contrats, près de 50% des entreprises interrogées n’y ont pas encore intégré la notification des violations de données personnelles. Seules 33% ont imposé cette clause à leurs sous-traitants.

La co-responsabilité avec les sous-traitants est très appréciée par leurs clients

TABLEAU : Quels sont, d’après-vous, les principales évolutions apportées par le RGPD concernant les sous-traitants ?

85% des répondants estiment que l’une des principales avancées du RGPD est le partage des responsabilités avec les sous-traitants. En cas de non-conformité de leur fait, ils pourront donc être sanctionnés par la CNIL, et non plus seulement le responsable de traitement, jusqu’à 10 ou 20 millions d’euros, ou 2% à 4% du chiffre d’affaires annuel mondial. 74% de nos répondants sont satisfaits que les sous-traitants aient l’obligation de tenir un registre des traitements qu’ils opèrent pour le compte de leurs clients. Plus de 66% des donneurs d’ordre considèrent que la troisième avancée du RGPD réside dans le respect par les sous-traitants du sort des données à l’issue de la prestation (purge, renvoi vers le client, transfert à un tiers). Plus de 55% des répondants apprécient également que, dans certains cas, les sous-traitants doivent désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement. De même, ils considèrent comme une avancée l’obligation de conseil des sous-traitants auprès de leurs clients pour le compte desquels ils traitent des données personnelles.

TABLEAU : Parmi les critères de sélection d’un sous-traitant, prenez-vous en compte les engagements à respecter le RGPD de la part des soumissionnaires ?

De même que les contrats sont modifiés à marche forcée, la prise en compte des engagements à respecter le RGPD commence à être un critère de sélection dans les appels d’offre. En effet, 20% des entreprises interrogées mentionnent systématiquement de telles clauses dans leurs appels d’offre. Et 63% comptent l’intégrer prochainement. Seulement 7% environ des répondants ne l’imposent pas dans leurs contrats, et plus de 7% d’entre eux n’étaient pas au courant de ce point…

TABLEAU : D’après vous, au titre du RGPD, que doivent faire vos sous-traitants ?

Une très large majorité des entreprises interrogées, à savoir plus de 85%, ont bien compris que leurs sous-traitants doivent respecter des obligations spécifiques et prendre en compte la protection des données dès la conception du service ou du produit. Dans 74% des cas, ils savent que les sous-traitants ont l’obligation de les informer immédiatement si l’une de leurs instructions constitue une violation du RGPD. Ils ont aussi intégré à plus de 66% que leurs sous-traitants doivent traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance. Dans plus de 66% des cas, nos répondants ont assimilé le fait que leurs sous-traitants sont obligés de leur demander l’autorisation écrite si, en tant que sous-traitant, ils font eux-mêmes appel à un autre sous-traitant. De même, ils ont aussi compris que les sous-traitants sont soumis à tenir un registre des traitements dans près de 63% des répondants. En outre, près de 52% des donneurs d’ordre sont au courant que les sous-traitants doivent les aider dans la mise en œuvre de certaines obligations du règlement, comme par exemple pour l’étude d’impact sur la vie privée, la contribution aux audits… Une très large majorité des répondants ont aussi bien appréhendé les actions à mener par les responsables de traitements vis-à-vis des sous-traitants. En premier lieu, sur le fait que les donneurs d’ordres doivent préciser par écrit leurs instructions concernant les traitements des données personnelles confiées (plus de 81%). Mais aussi qu’ils doivent veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du sous-traitant dans 71% des cas. Enfin, qu’ils ont l’obligation de superviser le traitement, y compris de réaliser les audits et des inspections auprès des sous-traitants (63%).

Labels CNIL : plus d’adeptes que de certifiés

TABLEAU : La CNIL a créé un référentiel et délivre le label «  Gouvernance Informatique et Libertés  ». Quelle est la position de votre organisation vis-à-vis de ce label  ?

Quant aux labels créés par la CNIL « Gouvernance informatique et libertés » et « formation et libertés », les avis sont partagés. Il risque d’y avoir plus d’adeptes des méthodes que de certifiés. Pour le label « Gouvernance informatique et libertés », 33% seulement pourraient candidater pour l’obtenir. Par contre, près de 48% ne souhaitent pas l’obtenir, même si 37% d’entre eux pourraient s’en servir comme d’un référentiel. Par contre, malgré les efforts de communication de la CNIL, encore près de 15% des répondants ne connaissaient pas son existence. Parmi les entreprises « pas intéressées par le label », 40% estiment qu’il n’apporte aucun avantage concurrentiel. 33% d’entre elles se plaignent de ne pas avoir le soutien de leur direction pour agir dans ce sens. Près de 30% attendent qu’il devienne européen. Enfin, près de 15% considèrent qu’il sera trop difficile à obtenir.

TABLEAU : La CNIL délivre un label « Formation  » qui s’applique aux formations Informatique et Libertés. Quelle est la position de votre organisation vis-à-vis de ce label  ?

11% des entreprises interrogées considèrent que le label formation est un critère de choix impératif, près de 30% qu’il fait partie des critères de choix, mais sans en faire une exigence. 11% d’entre elles n’en tiennent pas compte. Par contre, près de 30% des répondants disent ne pas avoir été informés de son existence. Ce qui démontre que les efforts de communication de la part de la CNIL doivent se poursuivre.

Au final, ce nouveau baromètre montre que le RGPD est devenu un sujet majeur dans les entreprises. Leur niveau de maturité en ce domaine augmente au fil du temps. Il est clair que, parmi les 99 articles du RGPD, le thème de la sous-traitance ressort du lot dans la mesure où il permet un partage des responsabilités avec leurs clients. Il a sans doute été étudié avec soin. Par contre, les donneurs d’ordre essayent de plus en plus de transférer leur responsabilité en matière de protection des données sur leurs sous-traitants dans tous les domaines. Cette situation risque de générer des discussions âpres, voire des litiges, en cas de problème avec la CNIL.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants