Comment travailler avec des entreprises prestataires en conformité avec le RGPD?

Que dois-je faire si j’ai recours à des entreprises tierces pour la gestion de mes données ?
  1. Faites la liste de toutes les solutions de type cloud que vous utilisez.

  2. Définissez clairement le cycle de vie de vos données, et assurez-vous que le niveau de sécurité déployé est adapté à chaque étape.

  3. Évaluez les risques que pourrait engendrer la perte ou le vol des données que vous détenez.

  4. Déterminez si il vous faut ou non nommer un Délégué à la Protection des Données.

  5. Vérifiez tous vos contrats pour comprendre où vos données et applications sont stockées et si elles sont traitées en dehors de l’Union Européenne.

  6. Incluez des clauses de confidentialité, de protection et des lieux où pourront être stockées les données dans vos contrats.

  7. Demandez à vos prestataires, en particulier ceux basés en dehors de l’UE, s’ils sont conformes au RGPD.

  8. Si vos prestataires ne pensent pas pouvoir être conformes au RGPD d’ici à mai 2018, commencez à évaluer leurs concurrents et planifiez le changement pour un prestataire respectueux du RGPD.

Le RGPD me permet-il de travailler avec des solutions tierces en dehors de l’UE ?

Oui, tant que ces entreprises adhèrent aux directives du RGPD en ce qui concerne le traitement et stockage des données. Les données personnelles ne peuvent être transférées en dehors de l’UE que vers des pays respectant les mêmes exigences en matière de protection des données, ou si vous pouvez garantir un niveau de protection équivalent à celui du RGPD.

Que signifie Binding Corporate Rules (BCRs)?

Les BCR ou règles internes d’entreprise constituent un code de conduite équivalent au RGPD permettant d’offrir une protection adéquate aux données transférées depuis l’Union européenne vers des pays tiers à l’Union européenne au sein d’une même entreprise ou d’un même groupe. Une sorte d’étalon-or de protection des données.

Quelles questions dois-je poser à mes prestataires en ce qui concerne le RGPD ?
  1. Où sont stockées vos données et applications ?

  2. Ces données ont-elle déjà été déplacées en dehors de l’Espace Economique Européen ?

  3. Vos données ont-elle déjà été transférées vers un centre de données situé en dehors de l’Union Européenne ?

  4. M’informez-vous systématiquement de tout transfert de données ?

  5. Avez-vous un Délégué à la Protection des Données ?

  6. Quelles procédures de management des risques et de contrôle des données avez-vous déjà mis en place ?

  7. Est-ce-que votre gestion des révisions assure un niveau de sécurité suffisant des données ?

  8. Qui peut avoir accès à mes données, sous quelles circonstances, et que peuvent-ils voir? Cet accès est-il pisté?

  9. Puis-je contrôler vos mesures techniques et de sécurité sur la protection des données ?

  10. Avez-vous déjà adhéré aux Binding Corporate Rules ?

  11. Vos mesures de protection seront-telles compliantes à temps quand le RGPD prendra effet ?