8 février 2019

RGPD, Solutions SaaS & Externalisation : 8 questions à poser et à se poser pour externaliser sa transformation digitale sans risque

Vos prestataires et vos fournisseurs respectent-ils la RGPD ? Comment pouvez-vous vérifier et valider leur pratiques de sécurité ?

Lire la suite

Le cadre donné par le RGPD en Europe permet aux entreprises de redoubler de vigilance quant à la collecte et aux traitements des données de l’entreprise dans le cadre d’une externalisation et/ou de l’achat de solutions type Cloud, SaaS…

Il est important de se poser systématiquement les mêmes questions afin de :

  • Se sensibiliser à la protection de la donnée de l’entreprises
  • Être en mesure de piloter et de contrôler le traitement de vos données par des prestataires externes, éditeurs de logiciel etc…

Ci-dessous 8 questions à se poser et à poser aux prestataires en amont, à la négociation et après la mise en place.

En amont – 3 questions à se poser

Qui centralise les processus du RGPD en interne et réalise sa mise à jour ?

Ces parties prenantes sont-elles intégrées à mes opérations de transformation digitale ?

Il est important d’identifier et d’intégrer toutes les parties prenantes chargées de la sécurité des données entreprises type DPO, CDO, DSI…et ce pour plusieurs points :

  • Ils sont en mesure de tester et de valider la fiabilité des prestataires
  • Ils sont en charge de contrôler les données qui peuvent ou non être communiquées aux prestataires
  • Ils peuvent définir les conditions d’externalisation des données et les sanctions en cas de d’actes malveillants des prestataires ou de hacking de données

Cette approche permet de gagner du temps en tenant compte des différents responsables de la sécurité des données, apporte de bonnes pratiques de sécurité et assure une négociation saine avec son prestataire.

Mes équipes sont-elles sensibilisées à la question de la protection des données et du RGPD ?

Comme on le dit bien souvent en cybersécurité, le problème est souvent entre la chaise et le clavier. Sensibiliser l’ensemble de ses collaborateurs aux questions de protection de la donnée est primordiale afin de limiter au maximum les erreurs humaines.

Au moment de la négociation avec le(s) prestataire(s) – 5 questions à poser au(x) prestataire(s)

Avez-vous besoin de données personnelles et/ou sensibles ?

Les données seront-elles hébergées en France et/ou en UE ?

Si oui, êtes-vous compliance RGPD ?

Si non, assurez-vous la sécurité des données ? (résultats d’audit, contrats, certifications, respect des directives RGPD, etc.

Pouvez-vous signer une clause de confidentialité, de protection et de lieux d’hébergement des données ?

Ces questions fournissent de bons indicateurs sur la confiance qu’il faut accorder au prestataire quant à la protection de vos données. Si les réponses ne sont pas satisfaisantes ou absentes, le prestataire peut ne pas être fiable.

En fonction des retours, n’hésitez pas à solliciter les parties prenantes identifiées plus tôt (DPO, DSI) afin d’étudier la faisabilité de la collaboration, anticiper les risques et définir un cadre de surveillance.

Et après ?

Un plan d’action peut être mis en place en fonction des réponses obtenues dont :

  • Mandater un audit de sécurité si les réponses ne sont pas claires ou insuffisantes ;
  • Réaliser une réunion avec le responsable de sécurité du prestataire ;
  • Envoyer une checklist de mesures de sécurité ;
  • Revoir les données à fournir au prestataire ;
  • Renégocier les termes et prix du contrat.

Ce plan d’action pourra ainsi être inclus dans vos indicateurs de confiance sur la protection de vos données externalisées et augmentera votre maîtrise de votre écosystème SI.

Erwan Moyon
Président de Asgora / Mes sujets au travail : la transformation digitale, la cybersécurité et le management par l’humain

Vous devriez aimer

Comment renforcer l’engagement de vos nouveaux employés grâce au Rapport d’étonnement ?

Découvrez comment renforcer l'engagement de vos nouveaux employés grâce à 5 bonnes pratiques d'utilisation du Rapport d'étonnement....

Lire l'article

Comment le digital peut-il améliorer le management de la Prévention des risques ?

Voici les opportunités majeures qui permettent d’optimiser et de faciliter l’activité de Prévention des risques grâce au digital...

Lire l'article

Pourquoi structurer correctement un projet informatique ?

Pourquoi faut-il structurer un projet informatique ? Quels sont les risques d'un projet IT mal cadré ? Comment anticiper ces risques ? ...

Lire l'article

Recevez notre newsletter

32 rue de Paradis, 75010 Paris

Contactez-nous