Le RGPD va au-delà de la simple conformité. Son application joue un rôle essentiel dans les relations business et s’inscrit dans le cadre du règlement européen.
Vous souhaitez accéder à certains marchés ? Conclure des affaires dans des domaines sensibles ?
Alors, le RGPD et les obligations de sécurité qui en découlent, deviennent un enjeu central sur lequel vos partenaires ne vont plus transiger. Ce règlement européen impose des obligations strictes et des sanctions aux entreprises et sous-traitants, tout en garantissant les droits des personnes concernées concernant leurs données personnelles. Il est crucial de respecter les obligations légales lors de la réalisation d'enquêtes impliquant des données personnelles, en veillant à l'anonymat et à la conformité aux réglementations pour éviter des amendes.
D’ailleurs, de nombreuses entreprises auditent les entreprises candidates par le biais d’un questionnaire qui peut être fastidieux à remplir si vous n’avez pas la bonne méthode.
Nous allons vous expliquer de quelle façon remplir un questionnaire sécurité et RGPD.
Vous êtes prêts ?
1. Comprendre la portée du RGPD sur la conformité et l’obligation de sécurité
La protection des données à caractère personnel oblige les différents acteurs à adopter des mesures opérationnelles. Pour appréhender l’enjeu du questionnaire, il est primordial de connaître les principes du RGPD et ses conséquences, aussi bien pour vous que pour votre client. Les enquêtes doivent également respecter les obligations légales du RGPD, en garantissant l'anonymat et la conformité aux réglementations pour éviter des amendes.
Les relations entre le responsable de traitement et le sous-traitant
Le responsable de traitement est l’entité qui définit les finalités et les moyens du traitement des données personnelles. Dans notre cas, c’est le cocontractant ou le partenaire pour qui vous souhaitez travailler.
Le sous-traitant est l’organisme qui traite les données personnelles pour le compte du responsable de traitement. Si vous nous lisez, c’est que vous endossez ce rôle et par conséquent, vous agissez sous l’autorité et les instructions du responsable de traitement. Les responsables, qu’ils soient responsables de traitement ou sous-traitants, doivent se conformer aux codes de conduite et aux normes réglementaires, soulignant ainsi la co-responsabilité des acteurs impliqués dans le traitement des données. Les enquêtes peuvent être utilisées pour vérifier cette conformité.
Les principes du RGPD
Votre client (responsable de traitement) et vous-même (sous-traitant) êtes soumis aux principes du RGPD :
Il est crucial de mettre en avant l’importance de la prise en compte du statut de sous-traitant dans le cadre du RGPD. Cette considération est essentielle pour assurer la conformité des entreprises et des acteurs publics, tout en précisant les responsabilités que cela implique en matière de traitement des données personnelles.
Principe de finalité : les données personnelles doivent être enregistrées et utilisées dans un but précis, légal et légitime, clairement défini et communiqué aux personnes concernées.
Proportionnalité : les données collectées doivent être pertinentes et strictement nécessaires pour atteindre l’objectif pour lequel elles sont collectées.
Durée de conservation limitée : une durée de conservation précise doit être fixée en fonction du type d’information et de la finalité du traitement. Après cette période, les données doivent être supprimées ou anonymisées.
Sécurité et confidentialité : des mesures adéquates doivent être adoptées pour protéger les données contre les accès non autorisés, la divulgation, la modification ou la destruction. Seules les personnes autorisées doivent avoir accès aux données. Les enquêtes doivent également respecter ces principes de sécurité et de confidentialité, en veillant à l'anonymat et à la conformité aux réglementations pour éviter des amendes.
Droits des personnes concernées : les individus ont plusieurs droits sur leurs données personnelles (droit d’accès, droit de rectification, droit à l’effacement, droit à la limitation du traitement, droit à la portabilité des données, droit d’opposition).
Les conséquences de ces principes sur le responsable de traitement et le sous-traitant
On pourrait se demander quelle est la légitimité de votre client à vous demander des justifications concernant la conformité et la sécurité de votre entreprise.
En réalité, le RGPD est très clair. Le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer que le traitement est effectué conformément aux principes que nous avons édictés précédemment.
De plus, un délégué à la protection des données (DPO) doit être désigné lors du traitement de données sensibles ou lorsque des opérations nécessitent un suivi régulier des personnes concernées.
Il est précisé également qu’il doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes en matière de conformité.
Quant au sous-traitant, vous avez l’obligation de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour permettre la réalisation d’audits. Les enquêtes peuvent être une méthode efficace pour recueillir ces informations. Donc, répondre à un questionnaire RGPD et sécurité rentre bel et bien dans ce périmètre.
2. Questionnaire RGPD et sécurité : les différents points de contrôle
Vous l’avez compris, le responsable de traitement n’a d’autre choix que de choisir un sous-traitant respectueux du RGPD. Son objectif ? Par vos réponses, il va pouvoir analyser votre degré de conformité et de sécurité.
Il est crucial de respecter les exigences du RGPD lors de la création de questionnaires et d’enquêtes, en garantissant la protection des données personnelles des répondants. Respecter les obligations légales lors de la réalisation d'enquêtes est essentiel pour éviter des amendes et assurer l'anonymat des participants.
Ci-dessous, voici les différentes thématiques qui seront abordées par ce type de questionnaire.
1. Les données personnelles du projet
Identifier les données personnelles concernées par le projet est logiquement la première étape. Pour être le plus exhaustif possible, répondez aux 3 questions suivantes :
- Quels sont les types de données qui seront concernés par ce projet ?
Cela peut inclure des données personnelles telles que les noms, adresses, numéros de téléphone, adresses e-mail, ainsi que des données non personnelles comme des informations techniques ou des métadonnées. Les enquêtes peuvent également être utilisées pour collecter ces types de données, en veillant à respecter les obligations légales du RGPD.
- Est-ce que cela concerne des données personnelles ? Vérifiez si les données traitées peuvent être considérées comme des données personnelles. Selon le RGPD, les données personnelles sont des informations se rapportant à une personne physique identifiée ou identifiable. Si oui, spécifiez les catégories de données personnelles concernées.
- Est-ce que cela concerne des données sensibles ? Déterminez si les données traitées incluent des informations relatives à l’origine raciale ou ethnique, aux opinions politiques, aux croyances religieuses ou philosophiques, à l’appartenance syndicale, ainsi qu’aux données génétiques, biométriques, relatives à la santé, à la vie sexuelle ou à l’orientation sexuelle.
2. Localisation des données personnelles
Dans le cadre de votre mission, vous allez donc collecter, traiter et stocker des données personnelles pour le compte de votre client. Les enquêtes peuvent être utilisées pour vérifier la localisation des données et s'assurer qu'elles sont conformes aux réglementations RGPD.
Point d'entrée : de quelle façon récupérez-vous les données personnelles ?
Tout dépend du périmètre de votre activité et de la mission pour laquelle vous êtes payé. Les enquêtes peuvent être une méthode efficace pour récupérer les données personnelles, en veillant à respecter les obligations légales et à garantir l'anonymat des répondants.
Exemples :
- Si vous êtes un service SaaS, les données sont complétées via votre logiciel par les utilisateurs finaux.
- Si vous êtes un expert-comptable mandaté pour les fiches de paie, c’est votre client qui vous fournira les éléments sur les salariés de son entreprise.
Traitement des données : qui concrètement manipule toutes ces données?
Ici, vous allez travailler sur la traçabilité de chaque donnée en votre possession. Les enquêtes peuvent être utilisées pour vérifier la légitimité des accès aux données.
- Collaborateurs : qui sont les collaborateurs qui ont accès aux données ? Parmi eux, sont-ils tous légitimes à y avoir accès ?
- Sous-traitants : travaillez-vous vous-même avec des sous-traitants ? Ces derniers sont-ils conformes au RGPD ?
- Suppression : indiquez les procédures en place pour la suppression sécurisée des données, en s’assurant qu’elles ne sont plus accessibles ou récupérables après leur suppression.
Finalités de traitement : quelle donnée pour quel objectif ?
Il est important de définir clairement les finalités pour lesquelles les données personnelles sont traitées en tant que sous-traitant. Les enquêtes peuvent aider à définir ces finalités, en veillant à respecter les obligations légales et à garantir l'anonymat des participants. En général, elles sont en adéquation avec les instructions du responsable de traitement.
Exemples :
- utilisation des données pour des campagnes de marketing ciblées, basées sur le comportement des utilisateurs ou les préférences ;
- gestion des candidatures pour l’évaluation des compétences des candidats, et présélection pour des postes spécifiques.
Hébergement des données et stockage : où sont centralisées vos données ?
Enfin, abordez spécifiquement la question de l’hébergement et du stockage des données : Les enquêtes peuvent être utilisées pour vérifier les pratiques d'hébergement et de stockage.
- Hébergement : précisez si les données sont hébergées sur des serveurs internes ou par des fournisseurs de services cloud. Mentionnez l’emplacement géographique des serveurs, mais privilégiez l’hébergement sur les territoires de l’UE !
- Stockage : décrivez les technologies et protocoles utilisés pour stocker les données. Expliquez si les données sont chiffrées, et quels types de sauvegarde et de plans de récupération en cas de sinistre sont en place.
3. Capacité à répondre aux obligations spécifiques du RGPD
Nous avons évoqué dans la partie précédente, les différents principes du RGPD. Ces derniers demandent une déclinaison opérationnelle actionnable et vérifiable. Les enquêtes peuvent être utilisées pour vérifier la conformité aux obligations spécifiques du RGPD.
Comment répondez-vous à la demande d’exercice des droits ?
Selon la portée de votre mission, vous pouvez être en première ligne lorsque des utilisateurs réclament d’exercer un droit.
Vous devez être alors très réactif puisque RGPD mentionne les délais de réponse auxquels vous êtes soumis : 1 mois maximum pour une demande simple, 3 mois maximum pour une demande complexe, 8 jours maximum pour des données de santé.
Voici quelques pistes de réponse à mettre en avant :
- pour chaque exercice de droit, expliquez quel est le process mis en place : où atterrit la demande, la personne référente, la réponse mise en place, les conséquences de l’exercice du droit (suppression de la base de donnée, modification des informations, etc.) ;
- les enquêtes peuvent être utilisées pour vérifier les processus de réponse aux demandes d’exercice des droits ;
- indiquer éventuellement les outils utilisés pour faciliter l’exercice de droits. Il peut s’agir du développement d’un workflow automatisé ou le recours à un outil RGPD comme Leto ;
- préciser de quelle façon vos collaborateurs sont formés sur la question puisqu’ils seront en première ligne pour traiter les demandes.
Comment gérez-vous la durée de conservation et la suppression des données ?
Les deux sujets sont évidemment liés puisqu’au-delà du délai nécessaire pour le traitement, les données personnelles doivent être “physiquement” supprimées. Les enquêtes peuvent être utilisées pour vérifier les pratiques de conservation et de suppression des données.
- justifiez tous les délais choisis. Ils peuvent être le fait d’une demande explicite de votre client, de délais légaux, de recommandations de la CNIL, etc. Le plus important est que ces données ne doivent être conservées que le temps nécessaire pour atteindre les objectifs prévus.
- suppression systématique une fois le délai écoulé. Leto peut offrir des solutions pour automatiser ce processus, en s’assurant que les données sont supprimées de manière sécurisée et conforme. Un système d’anonymisation peut aussi être mis en place.
Comment les personnes concernées sont-elles informées ?
La transparence imposée par le RGPD implique que vous devez informer les utilisateurs de la manière dont leurs données sont traitées : collecte, traitement, durée de conservation, droits, etc. Les enquêtes peuvent être utilisées pour vérifier la transparence de vos pratiques et s'assurer que vous respectez les obligations légales.
- avez-vous mis en place une politique de confidentialité ? Si oui, est-elle facilement accessible et lisible ?
- lorsque le consentement est nécessaire, comment celui-ci est-il obtenu (formulaire, case à cocher, etc.) ?
- la question spécifique des cookies : les utilisateurs sont-ils informés de la présence de cookies ? Ont-ils la possibilité de configurer leurs préférences en matière de cookies ?
4. Protection des données contre les risques cyber
Nous vous conseillons de faire appel à un expert en cybersécurité qui vous aidera à répondre aux questions suivantes :
Les enquêtes peuvent également être utilisées pour vérifier les mesures de sécurité en place et s'assurer de leur conformité aux réglementations RGPD.
Avez-vous mis en place un système de chiffrement ? Protocole TLS (Transport Layer Security) ? Certificats SSL? Score sur SSL Labs ? Gestion des clés de chiffrement (KMS - Key Management Service) ?
Anonymisez-vous des données dans les environnements hors production ? Ici, c’est indispensable si vous avez l’ambition d’analyser des données personnelles sur lesquelles vous n’avez plus la légitimité de travailler (hors délai de conservation notamment).
Comment sécurisez-vous les interfaces ? Mécanismes d’authentification ? Comptes de service dédiés avec des droits limités ? Ici, c’est indispensable si vous avez l’ambition d’analyser des données personnelles sur lesquelles vous n’avez plus la légitimité de travailler (hors délai de conservation notamment). Les enquêtes peuvent être utilisées pour vérifier les pratiques d'anonymisation et s'assurer que les obligations légales sont respectées.
5. Certifications et normes
Les certifications (souvent coûteuses pour être honnête) démontrent qu’une organisation adhère à des normes de sécurité rigoureuses et reconnues offrant ainsi une assurance quant à la protection des données sensibles et à la résilience des systèmes. Les enquêtes peuvent également être utilisées pour vérifier la conformité à ces normes, en s'assurant que les obligations légales, notamment en matière de RGPD, sont respectées.
Si vous en possédez, n’hésitez pas à les mentionner, cela peut vraiment faire la différence avec vos concurrents.
Exemples :
Les normes ISO : ISO 27001 (norme internationale pour la gestion de la sécurité de l’information), ISO 27002, ISO 27018 (protection des données personnelles dans le cloud)
**SOC : ISAE3402/SSAE16 (**évaluation des contrôles internes liés aux états financiers d’une organisation.
PCI-DSS : norme conçue pour protéger les informations des cartes de paiement.
TRUSTe : certification de la confidentialité, aidant les entreprises à montrer leur engagement envers la protection des données personnelles.
Disaster Recovery (DR) et Business Continuity Planning (BCP) : plans stratégiques pour assurer la continuité des opérations et la récupération rapide en cas de catastrophe.
6. Preuves sur la sécurité
Ces points sont très assez techniques et demandent l’intervention d’un expert en sécurité informatique qui saura répondre aux attentes de votre client. De plus, des enquêtes peuvent être utilisées pour vérifier les preuves de sécurité et s'assurer de la conformité aux réglementations.
Quelles preuves de sécurité pouvez-vous présenter au responsable de traitement ?
Voici quelques exemples :
- Rapport d’audit : la réalisation d’audit de sécurité, y compris des tests d’intrusion (pentests), donne une vision à 360° de l’état de sécurité des systèmes et des mesures d’ajustement adoptées par l’entreprise ;
- Plan d’assurance sécurité (PAS) : il décrit les mesures de sécurité destinées à protéger les données personnelles et à assurer la continuité des activités ;
- Politique de sécurité des systèmes d’information (PSSI) : elle définit les objectifs et les directives de sécurité à suivre au sein de l’organisation (gestion des accès, protocoles prévus lors d’incidents).
Documentation complémentaire : security Health Check / Score (évaluations de scores de sécurité), guides (sur les étapes de déploiement sécurisées par exemple), bonnes pratiques, etc.
7. Accès et journalisation
La gestion des accès et la journalisation garantissent que seules les personnes autorisées peuvent accéder aux données personnelles, en mettant également en évidence les comportements suspects. De plus, des enquêtes peuvent être utilisées pour vérifier les pratiques d'accès et de journalisation, assurant ainsi la conformité aux réglementations RGPD.
Quels systèmes d’authentification utilisez-vous ?
- Système d’authentification unique (SSO) : ce système permet à un utilisateur d’accéder à plusieurs applications informatiques en ne procédant qu’à une seule authentification. Quels systèmes utilisez-vous pour sécuriser ce type d’authentification ? SAML 2.0 ? OpenID Connect ? OAuth 2.0 ?
- Authentification multi-facteurs (MFA) : ce système exige une deuxième forme de vérification (code envoyé par SMS ou application d’authentification).
Quel système de journalisation avez-vous prévu ?
La journalisation assure la traçabilité des accès et des actions des utilisateurs dans un environnement multi-utilisateurs. Ces outils collectent et traitent des informations relatives à :
- l’identifiant utilisateur ;
- la date et l’heure de l’accès ;
- l’identifiant de l’équipement utilisé, etc.
Ces journaux doivent être conservés de manière sécurisée et être consultables pour des besoins de conformité, d’audit et de résolution d’incidents.
8. Disponibilité et continuité
La disponibilité et la continuité des services sont des éléments cruciaux pour garantir la résilience des systèmes d’information. L’enjeu est d’assurer la poursuite des opérations même en cas de problème. Les enquêtes peuvent être utilisées pour vérifier les pratiques de continuité et s'assurer que toutes les mesures nécessaires sont en place pour respecter les obligations légales.
Avez-vous mis en place les protocoles suivants ?
Plan de continuité d’activité (PCA) : ce plan assure que les opérations critiques peuvent continuer malgré les incidents majeurs, minimisant ainsi les interruptions et les impacts sur les activités. Des enquêtes peuvent être utilisées pour vérifier les protocoles de continuité et s'assurer de leur efficacité.
Plan de reprise d’activité (PRA) : il définit les procédures à suivre pour restaurer les systèmes et les données après un incident ;
Quelle est la disponibilité garantie du service ?
Le Service Level Agreement (SLA) est un engagement qui fixe la disponibilité du service. Des enquêtes peuvent être utilisées pour vérifier les engagements de disponibilité.
Plusieurs points sont abordés parmi lesquels :
- la disponibilité du service : quel pourcentage de temps le service est-il opérationnel et accessible ? Ainsi, si vous proposez un outil SAAS, le SLA peut garantir une disponibilité de 99% (ce qui est le cas de Leto par exemple) ;
- le temps de réponse : combien de temps vous faut-il pour qu’une demande soit traitée ou qu’un problème soit résolu ?
- RTO (Recovery Time Objective) : quel est le temps maximal acceptable pour restaurer le service après une interruption (après une panne par exemple)?
- RPO (Recovery Point Objective) : quelle est la période maximale de perte de données acceptable en cas d’incident ?
- la maintenance : quels sont les supports disponibles en cas de besoin ? Un SLA peut inclure un support permanent.
Avez-vous mis en place une politique de sauvegarde des données ? Si oui, de quelle façon ?
Le processus de restauration en cas de besoin doit être clairement défini, incluant :
- procédure de sauvegarde : fréquence et méthode de sauvegarde des données. Pour la CNIL, il peut être opportun de prévoir des sauvegardes incrémentales quotidiennes et des sauvegardes complètes à intervalles réguliers ;
- demande de restauration : étapes à suivre pour restaurer les données en cas de problème. Il faut s’assurer que les utilisateurs, prestataires et sous-traitants savent qui alerter en cas d’incident ;
- tests réguliers : vérification régulière de la restauration des sauvegardes et de l’application du plan de continuité ou de reprise de l’activité ;
- enquêtes : des enquêtes peuvent être utilisées pour vérifier les pratiques de sauvegarde et s'assurer de la conformité aux réglementations RGPD.
Leto propose un outil qui permet de répondre de manière rapide et efficace à tous vos questionnaires de sécurité et RGPD. L'IA de Leto, Hari, vous suggère des réponses et vous permet de renvoyer vos questionnaires à vos potentiels clients en un rien de temps!