+33 1 87 66 61 82
welcome@asgora.com

RGPD, Solutions SaaS & Externalisation : 8 questions à poser et à se poser pour externaliser sa transformation digitale sans risque

Le cadre donné par le RGPD en Europe permet aux entreprises de redoubler de vigilance quant à la collecte et aux traitements des données de l’entreprise dans le cadre d’une externalisation et/ou de l’achat de solutions type Cloud, SaaS…

Il est important de se poser systématiquement les mêmes questions afin de :

  • Se sensibiliser à la protection de la donnée de l’entreprises
  • Être en mesure de piloter et de contrôler le traitement de vos données par des prestataires externes, éditeurs de logiciel etc…

Ci-dessous 8 questions à se poser et à poser aux prestataires en amont, à la négociation et après la mise en place.

En amont – 3 questions à se poser

  1. Qui centralise les processus du RGPD en interne et réalise sa mise à jour ?
  2. Ces parties prenantes sont-elles intégrées à mes opérations de transformation digitale ?

Il est important d’identifier et d’intégrer toutes les parties prenantes chargées de la sécurité des données entreprises type DPO, CDO, DSI…et ce pour plusieurs points :

  • Ils sont en mesure de tester et de valider la fiabilité des prestataires
  • Ils sont en charge de contrôler les données qui peuvent ou non être communiquées aux prestataires
  • Ils peuvent définir les conditions d’externalisation des données et les sanctions en cas de d’actes malveillants des prestataires ou de hacking de données

Cette approche permet de gagner du temps en tenant compte des différents responsables de la sécurité des données, apporte de bonnes pratiques de sécurité et assure une négociation saine avec son prestataire.

3. Mes équipes sont-elles sensibilisées à la question de la protection des données et du RGPD ?

Comme on le dit bien souvent en cybersécurité, le problème est souvent entre la chaise et le clavier. Sensibiliser l’ensemble de ses collaborateurs aux questions de protection de la donnée est primordiale afin de limiter au maximum les erreurs humaines.

Au moment de la négociation avec le(s) prestataire(s) – 5 questions à poser au(x) prestataire(s)

  1. Avez-vous besoin de données personnelles et/ou sensibles ?
  2. Les données seront-elles hébergées en France et/ou en UE ?
  3. Si oui, êtes-vous compliance RGPD ?
  4. Si non, assurez-vous la sécurité des données ? (résultats d’audit, contrats, certifications, respect des directives RGPD, etc.
  5. Pouvez-vous signer une clause de confidentialité, de protection et de lieux d’hébergement des données ?

Ces questions fournissent de bons indicateurs sur la confiance qu’il faut accorder au prestataire quant à la protection de vos données. Si les réponses ne sont pas satisfaisantes ou absentes, le prestataire peut ne pas être fiable.

En fonction des retours, n’hésitez pas à solliciter les parties prenantes identifiées plus tôt (DPO, DSI) afin d’étudier la faisabilité de la collaboration, anticiper les risques et définir un cadre de surveillance.

Et après ?

Un plan d’action peut être mis en place en fonction des réponses obtenues dont :

  • Mandater un audit de sécurité si les réponses ne sont pas claires ou insuffisantes ;
  • Réaliser une réunion avec le responsable de sécurité du prestataire ;
  • Envoyer une checklist de mesures de sécurité ;
  • Revoir les données à fournir au prestataire ;
  • Renégocier les termes et prix du contrat.

Ce plan d’action pourra ainsi être inclus dans vos indicateurs de confiance sur la protection de vos données externalisées et augmentera votre maîtrise de votre écosystème SI.