UNE UNION RÉALISÉE DANS LE CLOUD : LE RESPONSABLE DU TRAITEMENT DE DONNÉES ET LE SOUS-TRAITANT DE DONNÉES

Am i a data controller or data processor

UNE UNION RÉALISÉE DANS LE CLOUD : LE RESPONSABLE DU TRAITEMENT DE DONNÉES ET LE SOUS-TRAITANT DE DONNÉES

Le Règlement général sur la protection des données (GDPR) de l’UE est entré en vigueur le 25 mai 2018. En particulier, le GDPR donne aux particuliers un plus grand contrôle sur leurs données personnelles, et il exige que les entreprises précisent clairement les raisons pour lesquelles elles recueillent ces informations. Dans le cadre du GDPR, les sociétés qui accèdent à l’information sur les clients sont définies comme étant des responsables du traitement et/ou des sous-traitants. Toute entreprise qui fait des affaires au sein de l’UE ou avec des citoyens ou des résidents de l’UE doit se conformer au GDPR, même si elle est basée en dehors de l’Europe.

Quelle est la relation entre les responsables du traitement et les sous-traitants ?

Le responsable du traitement est la personne, l’entreprise ou l’agence qui détermine quelles données seront collectées, auprès de qui et dans quel but. Le responsable du traitement détermine également où et comment les données à caractère personnel sont stockées et gérées. Le sous-traitant est la personne, la société ou l’agence qui traite les données pour le compte d’un responsable du traitement. En effet : le responsable du traitement est à la recherche d’un stockage de données, et le sous-traitant fournit le stockage. Mais les deux sont assujettis au GDPR.

Dans la plupart des cas, les responsables du traitement téléchargent les données vers un processeur. Le responsable du traitement traitera ensuite les données et les stockera dans le nuage. Comme le responsable du traitement conserve le contrôle des données, il est essentiel de faire confiance au responsable du traitement.

Voici quelques questions à considérer :

  • Savez-vous où se trouvent les serveurs de vos sous-traitants ?
  • Est-ce que votre sous-traitant se conforme au GDPR ?
  • Leurs procédures en matière de cloud sont-elles sécurisées ? Peuvent-ils le prouver à l’aide d’audits effectués par des tiers ?
  • Est-ce que votre sous-traitant est certifié WebTrust ? Sont-ils en conformité avec SOC2 ?

 

Les responsables du traitement doivent également être clairs sur les politiques de conservation des données. Les personnes doivent savoir combien de temps leurs données seront conservées, et les données ne peuvent être conservées au-delà du temps nécessaire. À la fin de cette période, toutes les données doivent être détruites. Les sous-traitants qui sauvegardent des données dans plusieurs systèmes doivent mettre en place des procédures pour s’assurer qu’elles peuvent être supprimées.

En tant qu’entreprise de traitement de données, Echoworx ne distribue du courrier qu’aux utilisateurs finaux. Nous stockons tous les courriels sous forme cryptée et les supprimons rapidement. Nous sommes en totale conformité avec le GDPR.

Qu’est-ce que cela signifie pour moi ?

Il existe de nombreux cas où les entreprises peuvent rencontrer des points de contact dans la relation entre le responsable du traitement et le sous-traitant. Prenons l’exemple des services bancaires : vous êtes peut-être une grande banque qui a tout simplement trop de clients pour fournir un cryptage de données fiable et efficace en interne. Votre banque signe une entente contractuelle avec un fournisseur de cryptage tiers pour crypter et envoyer de gros volumes d’états financiers sécurisés. Étant donné que vous conservez le contrôle des coordonnées du client et des détails du relevé, votre rôle dans cette relation est celui d’un contrôleur de données – alors que la plate-forme de cryptage tierce partie, qui traite les données pour un transit sécurisé, est le processeur de données.

En fin de compte, vous êtes responsable d’assurer la sécurité des données sensibles des clients, qu’il s’agisse d’informations aussi simples que leur adresse ou plus complexes comme leur historique financier. De plus, en vertu de règlements comme le GDPR et de règlements encore plus récents, comme l’AB 375 de la Californie, vous êtes également responsable de vous assurer que vos sous-traitants de données tiers respectent les normes de sécurité que vous leur imposez.

Pour vous aider à établir une base de référence de ce qui est nécessaire, vous pourriez faire appel à un audit de cybersécurité réalisé par un tiers – voici ce que vous devez savoir.

Le Cybersecurity Leadership Exchange Forum (CLX Forum) offre de nouvelles perspectives

Une analyse approfondie du GDPR et de ses implications est fournie par le Forum CLX, une communauté de réflexion du leadership canadien, dans son livre Canadian Cybersecurity 2018 : An Anthology of CIO/CISO Enterprise Level Perspectives. Parmi les nombreuses observations les plus intéressantes, Edward Kiledjian, VP Information Security, Compliance and CISO chez OpenText, aborde la question de savoir à qui appartiennent les informations personnelles. Bien que cette question n’ait pas encore été tranchée en Amérique du Nord, le GDPR indique clairement qu’en Europe, les particuliers sont désormais propriétaires de leurs données. À tout moment, un citoyen de l’UE peut révoquer le droit d’une organisation de stocker ses données personnelles. Et si un citoyen de l’UE demande à une entreprise de détruire des données, l’entreprise doit le faire dans un délai d’un mois. Il est également important de noter que les données recueillies précédemment ne sont pas exemptées de ce règlement. Si votre entreprise a déjà recueilli des données auprès de résidents de l’UE dans le passé, les responsables du traitement doivent obtenir leur consentement pour l’utilisation actuelle de ces données. [1]

Un autre aspect important du GDPR est que son agence de réglementation teste activement la sécurité. Dans le cadre de ce processus, elle mesure également la façon dont les entreprises réagissent aux attaques. Comme le souligne Amir Belkhelladi, associé, Risk Advisory, chez Deloitte Canada, les conseils d’administration des sociétés sont maintenant directement responsables devant l’organisme de réglementation de GDPR. Les conseils doivent comprendre comment les données sont collectées, utilisées, sauvegardées et supprimées. Ils doivent également s’assurer que la direction suit ces nouveaux règlements. [2]

Des Sanctions à travers des amendes.

Avant le GDPR, les entreprises se faisaient surtout du souci quant à l’impact sur la réputation d’une atteinte à la cybersécurité. Aujourd’hui, en plus des dommages coûteux causés aux marques, les failles de sécurité ont de graves conséquences financières. Les entreprises qui ne protègent pas suffisamment les données peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros, soit 4 % de leur chiffre d’affaires annuel global, le montant le plus élevé étant retenu. Les entreprises n’ont que 72 heures pour signaler un incident, et elles sont tenues d’aviser les clients « sans délai indu » après avoir pris connaissance d’un incident.

Les entreprises qui ne fournissent pas de biens ou de services aux résidents de l’UE ne sont pas tenues de se conformer au GDPR. Mais le protocole GDPR s’applique également aux résidents de l’UE résidant à l’étranger et aux entreprises qui engagent des tiers ayant des liens avec des pays de l’UE. Pour ceux qui continuent à faire des affaires en Europe, la protection de la vie privée par la conception deviendra leur nouveau mot d’ordre. Les organisations doivent s’assurer que leurs systèmes répondent à ces normes strictes. Certaines petites organisations décideront-elles qu’elles ne peuvent plus faire affaire avec des citoyens de l’UE ? Presque certainement. Mais pour chaque entreprise opérant en Europe, la mise en conformité devrait être obligatoire. Et comme GDPR est l’ensemble le plus rigoureux de règlements sur la protection de la vie privée jamais adoptée, les entreprises qui sont en conformité peuvent être assurées qu’elles sont en conformité à l’échelle mondiale.

Par Nicholas Sawarna, Sr. Spécialiste en Content Marketing, chez Echoworx


[1] CLX Forum, Chapter 12, “General Data Protection Regulation (GDPR)”

[2] CLX Forum, Chapter 3, “Coaching Your Board and Leadership Peers on Cybersecurity Issues”