Retour sur le « Sweep day 2018 » dont le thème cette année était la responsabilisation des acteurs en matière de protection des données.

Qu’est-ce que le « Sweep day » ?

Le « Sweep day » est une action menée par le Global Privacy Enforcement Network (GPEN) dans le cadre de laquelle ses membres, les autorités nationales de protection en matière de données personnelles, vont auditer une pratique ou un secteur pertinent au regard de la protection des données personnelles.

Bilan national de la CNIL

La CNIL, en tant que membre du GPEN, a choisi cette année de concentrer son action sur le secteur des prestataires de services en informatique. Son objectif était de mesurer à l’échelle nationale le « niveau de maturité en matière de protection des données » des acteurs de ce secteur.

La CNIL a choisi de se focaliser sur ce secteur en particulier en raison du statut spécifique que le RGPD consacre aux sous-traitants et aux responsables de traitement. Avec l’entrée en vigueur du RGPD, les sous-traitants se voient notamment désormais attribuer une obligation de conseil auprès des responsables de traitement en matière de sécurité.

Dans le cadre de cet audit, ont ainsi été interrogés plus d’une vingtaine de prestataires de services informatiques (intégrateurs de logiciels, hébergeurs) situés sur le territoire français. Des entreprises de différentes tailles ont été auditées, représentant ainsi tous les types de structures.

Le bilan établi par la CNIL est globalement positif. En effet de nombreuses « bonnes pratiques », telles que des analyses quant à la nécessité ou non de désigner un délégué à la protection des données ou encore l’étude par les entreprises de leur qualité de sous-traitant ou de co-responsable de traitement, ont été relevées à travers cet audit.

Ces pratiques relevées chez les entreprises démontrent une réelle prise en compte du nouveau cadre légal européen en matière de données personnelles par les prestataires et les organismes du secteur.

Cependant, cet audit a également permis de mettre en lumière certaines lacunes et d’identifier « des marges de progression » que les acteurs du secteur devront impérativement accomplir pour être en pleine conformité avec les exigences du RGPD.

Parmi les marges de progression identifiées, la CNIL a notamment relevé la nécessité pour un certain nombre de prestataire informatique :

–  de mettre en place des procédures de gestion d’incident de sécurité ;

–  de mieux assister leurs clients dans le cadre d’analyses d’impact ;

– ou encore de mieux assister leurs clients dans la mise en place de procédures spécifiques pour que leurs clients en qualité de responsable de traitement puissent répondre aux demandes d’exercice des droits des personnes.