Applicabilité du RGPD : A-1 !

Il y a quelques mois, nous vous faisions un retour sur l'Université des CIL organisée par l'AFCDP à moins de 500 jours avant l'applicabilité du RGPD.

Le 25 mai 2018 : c'est désormais dans un an ! A cette occasion nous vous proposons de faire le point sur les grands axes de conformité sur lesquels nous travaillons, en réponses aux exigences qui vont s’imposer à Claranet, en tant que Sous-Traitant des données confiées par nos clients.

    Sous-Traitant, un statut déjà existant, désormais plus exigeant

    Un Sous-Traitant dispose d’un mandat de traitement des données personnelles, défini par le Responsable de Traitement et agit sur instruction du Responsable de Traitement. Le mandat est principalement formalisé par les contrats qui nous lient à nos clients. Sur ce sujet, nous travaillons activement à la mise à jour des modèles de contrats Claranet pour intégrer directement les clauses obligatoires décrites à l’article 28 du RGPD. Afin d’établir les rôles et responsabilités en matière de protection des données personnelles, une politique et une matrice de responsabilité type ont été établies.

    Le RGPD insiste sur les devoirs du Sous-Traitant :

    • un devoir de conseil, notamment sur les sujets de sécurité,
    • un devoir d'assistance en cas de demande des Personnes Concernées,
    • un devoir de coopération, par exemple en cas de contrôle de la CNIL.

    Des devoirs déjà bien ancrés dans la volonté de Claranet de se positionner comme partenaire de confiance pour ses clients. Une confiance et une coopération mutuelles d’autant plus indispensables que les sanctions sont désormais partagées, le Sous-Traitant pourra être contrôlé et sanctionné par la CNIL au même titre que l’est aujourd’hui le Responsable de Traitement.

    Sous-Traitant, un maillon d'une chaîne de conformité

    Claranet est un maillon d’une chaîne de sous-traitance. Nous sommes parfois en relation contractuelle directe avec le Responsable de Traitement, et parfois avec le Sous-Traitant d’un Responsable de Traitement (un éditeur SaaS par exemple). Enfin, nous sous-traitons également de notre côté une partie des prestations en louant des salles au sein de Datacenters.
    La conformité de Claranet au RGPD est une condition nécessaire à la conformité de la chaîne de sous-traitance. Mais elle n’est pas suffisante : chaque maillon devra être en capacité de démontrer sa conformité. Au travers de notre processus de gestion des fournisseurs, nous nous assurons que les prestataires en aval de la chaîne de sous-traitance, nos Datacenters, répondent aux exigences. En amont de la chaîne de sous-traitance, nous aurons à l’avenir besoin de certains retours d’information, par exemple sur les Etudes d’Impact sur la Vie Privée (EIVP / DPIA) ou encore pour établir notre registre Sous-Traitant.

    SMSI de Claranet, un appui incontournable

    Le SMSI (Système de Management de la Sécurité) de Claranet est certifié depuis 2011.
    Au fil des années, il s'est enrichi de nouveaux référentiels : ISO27002 puis PCI-DSS et le formulaire P6 de l'Agrément HDS et a gagné en maturité. Ce qui a fait de notre SMSI un outil incontournable de la mise en conformité au RGPD de Claranet. En s'appuyant sur l'organisation, les procédures, et les mesures de sécurité existantes, puis en les enrichissant, notamment via les contrôles complémentaires du référentiel ISO27018 relatif à la sécurité des données personnelles dans le cloud, Claranet fait converger les deux démarches dans un ensemble cohérent.
    En voici trois exemples :

    • Claranet a désigné son DPO (Data Protection Officer) dès 2016 en anticipation de l’obligation qui s’imposera à partir du 25 mai 2018. Le DPO est membre des Comités de Revue de Direction du SMSI et participe activement à la mise en œuvre du SMSI pour intégrer les spécificités « protection des données personnelles ».
    • Le processus de gestion des incidents de sécurité (chapitre 16 de l’annexe A de l’ISO27001), a constitué une excellente base pour traiter la thématique des violations de sécurité des données personnelles. Ce processus déjà fonctionnel et maîtrisé par les équipes a été complété pour prendre en compte les exigences du RGPD.
    • Nous avons intégré à notre démarche de sensibilisation des équipes Claranet, une partie spécifique sur la protection des données personnelles. Des présentations ont été faites à la Direction de Claranet et aux managers opérationnels. Pour les collaborateurs, des modules e-learning ont été développés et seront enrichis durant l’année à venir.

    Veille indispensable pour confirmer les travaux engagés

    Aujourd’hui, les travaux de mise en conformité que nous avons engagés s’appuient sur le texte du règlement, les premières guidelines du G29, le référentiel ISO27018 et le référentiel du label CNIL . Ces divers éléments ne seront pas les seuls à prendre en compte, ainsi nous pouvons nous attendre :

    • à de nouvelles guidelines du G29,
    • à la déclinaison du RGPD en actes délégués,
    • à la révision de La loi informatique et libertés, puis des décrets d’application.

    Ces éléments confirmeront-ils nos interprétations ? Les remettront-ils en question ? Nous réalisons une veille assidue sur le sujet pour ajuster les travaux réalisés, en cours et à venir.

    Par Adèle Adam Data Protection Officer chez Claranet

    *Le RGPD est le Règlement Général pour la Protection des Données à caractère personnel adopté par le Parlement Européen, et applicable à l’ensemble des membres de l’UE, sans transposition locale, à partir du 25 mai 2018.