Protection des données personnelles : quel rôle pour les sous-traitants vis-à-vis des marques ?
La sécurité est au cœur de la réussite des projets d’expérience client digitale. Nous avons adressé ce sujet dans notre billet de blog du 17 octobre dernier dans lequel, Pascal Gauvrit, CTO d’Eptica est revenu sur les implications pour les marques du règlement européen sur la protection des données personnelles qui s'appliquera à partir du 25 mai 2018 (RGPD). Nous l’interrogeons aujourd’hui plus spécifiquement sur le rôle des sous-traitants, partenaires des marques en matière de protection des données des consommateurs.
1) Quel rôle pour les sous-traitants en vue de l’application du RGPD en mai 2018 ?
Les canaux digitaux facilitent la vie de millions d’individus. Nous conversons tous avec les marques ou les institutions pour effectuer nos démarches quotidiennes : réserver des billets d’avions pour ses vacances, vérifier ses remboursements médicaux ou encore contacter son assureur pour un renouvellement de contrat, etc. Les responsables de traitement ont une obligation de sécurité au regard des données personnelles qu'ils traitent, conformément à la loi Informatique et Libertés actuelle puis conformément au RGPD dans quelques mois. La CNIL a pour mission de vérifier le respect des principes présidant à tout traitement de données personnelles. Ces vérifications peuvent être effectuées sur place, sur examen de pièces, sur audition ou en ligne.
Les pouvoirs de vérification et de sanction de la CNIL sont renforcés par le RGPD qui conférera également de nouveaux droits aux consommateurs.
Désormais, le respect des règles édictées par le RGPD pèsera directement à la fois sur le responsable de traitement et le sous-traitant.
2) Le risque zéro d’atteinte à la sécurité des données clients existe-t-il ?
Malheureusement non, comme dans tous les domaines. En revanche, l'exigence de sécurité posée par la législation européenne est très élevée et contraint les acteurs à mettre en place toutes les mesures techniques et organisationnelles appropriées pour assurer la sécurité des traitements de données personnelles.
Dans notre secteur, les entreprises sont particulièrement vigilantes. Nos clients testent plusieurs fois par an nos environnements hébergés. Malgré toutes ces précautions, les entreprises sont toutes exposées. Par exemple, une des difficultés peut-être le délai pour déployer sur le terrain les dernières versions des logiciels disponibles permettant de mettre en œuvre les derniers correctifs de sécurité.
3) Quelles sont les actions mises en place par Eptica à ce jour ?
La protection des données personnelles est vitale pour construire des relations de confiance avec les consommateurs et se conformer aux lois en vigueur.
Le RGPD va faciliter le rôle de conseil des éditeurs auprès de leurs clients-entreprises afin qu’ils soient à jour des dernières versions et bénéficient des dernières protections. La sécurité des données reste un sujet vivant qui évolue quotidiennement.
En tant qu’éditeur, nous avons mis en place une organisation pour répondre à la nouvelle réglementation. Un Délégué à la protection des données a été nommé et nous avons mené un audit complet de notre code au regard des contraintes imposées par le RGPD. Une cartographie des traitements de données personnelles a été réalisée. Les actions de mise en conformité ont été priorisées. Des livraisons de correctifs liés à cette conformité ont déjà eu lieu depuis un an et d'autres sont prévues au premier trimestre 2018. Les processus et les contrats sont actuellement revus. Enfin la documentation de la conformité est en cours et sera terminée début mai 2018.
A partir de mai 2018, Eptica aura de nouvelles obligations et responsabilités. Par exemple, Eptica devra prévenir ses clients - responsables de traitements dans les meilleurs délais suivant la découverte d'une faille potentielle impactant les données personnelles.
Eptica pourra conseiller ses clients pour les accompagner dans leur propre mise en conformité avec le RGPD en s’assurant notamment :
- de ne traiter et conserver que les données personnelles dont ils ont besoin,
- que leurs process, leurs systèmes informatiques et leurs partenaires soient conformes à la législation, notamment la mise en oeuvre de toutes les mesures techniques et organisationnelles pour assurer un niveau de sécurité approprié au regard des traitements effectués,
- qu’ils respectent l’obligation de documentation de la conformité.
