Sint-Niklaas, 9 octobre 2017 - Beltug, l’association belge des utilisateurs qui défend les intérêts des CIO et des autres responsables ICT, annonce la disponibilité du questionnaire “GDPR IT Vendor Assessment”. Ce questionnaire a pour but d’aider les entreprises à évaluer leurs partenaires et fournisseurs IT en matière de conformité GDPR.

“Le 25 mai 2018, le jour qui verra l’entrée en vigueur de la General Data Protection Regulation (GDPR) - Règlement Général pour la Protection des Données (RGPD), en français -, se rapproche à grands pas. Les entreprises recherchent activement de l’aide afin de se préparer à cette échéance. Dans un peu moins de 8 mois, toute organisation aura l’obligation légale de traiter les données de ses clients, de ses employés, etc., avec une extrême prudence”, déclare Danielle Jacobs, directrice de Beltug, “Nous faisons tout notre possible, chez Beltug, afin d’aider les entreprises dans leur processus de préparation, en leur proposant des sessions d’informations ainsi que divers outils. A l’heure actuelle, nos membres peuvent déjà utiliser notre questionnaire “GDPR Vendor Assessment”. Au cours des prochains mois, Beltug prendra 6 autres initiatives afin de préparer les entreprises pour le 25 mai 2018”.
Impossible de se défausser de sa responsabilité sur le fournisseur

Beltug a compilé toutes les questions que les entreprises peuvent poser à leurs prestataires cloud afin de vérifier si ces fournisseurs sont conformes GDPR. “Une société demeure toujours responsable de ses données, en ce compris en cas de violation alors que ses données sont en fait traitées par un fournisseur. Il est dès lors extrêmement important de s’assurer que ce prestataire se conforme, lui aussi, aux dispositions de la GDPR. Notre questionnaire leur procure une aide précieuse dans la formulation des bonnes questions et de conventions pertinentes.”
Au-delà de l’infrastructure et des procédures

La liste comporte des questions qui portent sur la totalité des aspects dont une entreprise (le “responsable du traitement” ou “data controller”) et son prestataire cloud (le “sous-traitant” ou “data processor”) doivent convenir, comme par exemple:

infrastructure
procédures
stabilité financière
expertise, fiabilité et aptitudes
compétences nécessaires pour l’implémentation, la gestion et le support des exigences de la GDPR

Des questions principales et des questions complémentaires sont prévues pour chaque sujet.

“Ce questionnaire est bien plus qu’une liste de contrôle de procédures ou de points techniques”, souligne Danielle Jacobs. “Tout est abordé, en ce compris des questions moins flagrantes mais qui n’en demeurent pas moins pertinentes. Par exemple: le prestataire maîtrise-t-il en interne les procédures nécessaires à l’application rapide et impeccable du “droit à l’oubli”? Qu’en est-il des sous-traitants du prestataire: garantissent-ils eux aussi une conformité GDPR, même s’ils sont situés en dehors du territoire européen? Ce genre de questions et bien d’autres encore, tout aussi pertinentes, sont également abordées.”

La liste a été élaborée en collaboration avec des experts en protection des données qui travaillent pour de grandes entreprises dans différents secteurs et a ensuite été testée auprès d’importants fournisseurs belges et internationaux.

L’entreprise (client) n’est pas la seule à trouver un intérêt certain dans ce questionnaire “GDPR Vendor Assessment”, relève Danielle Jacobs: “Le prestataire cloud, lui aussi, peut en tirer avantage: plusieurs fournisseurs nous ont signalé qu’ils y trouvent une aide précieuse. Ils disposent en effet ainsi d’un instrument leur permettant d’éviter de devoir répondre à différents questionnaires. Il constitue en outre une bonne base pour adapter les contrats et parvenir ainsi à une conformité GDPR.”

L’intérêt est flagrant: lors de l’atelier que Beltug avait organisé, le 5 octobre, à l’occasion du lancement du questionnaire, pas moins de 60 entreprises étaient présentes. “Les entreprises qui ne sont pas membres de Beltug s’intéressent elles aussi beaucoup à ce questionnaire”, ajoute Danielle Jacobs. “Voilà pourquoi nous avons décidé de mettre le questionnaire à disposition de toute organisation qui voudrait l’utiliser. Elle peut le demander en envoyer un courriel à l’adresse info@beltug.be”.