L’article 28 du Règlement général sur la protection des données (RGPD) mis en place par l’Union européenne stipule que les entreprises sont responsables du traitement des données, qu’elles décident de s’en charger en interne ou de confier cette tâche à des prestataires ou partenaires tiers.
Si la plupart des entreprises sont au fait des exigences du RGPD, nombre d’entre elles se contentent d’une politique de traitement des données interne, ignorant ainsi purement et simplement une menace encore plus dangereuse : les risques de cybersécurité tiers.
En vue de limiter les risques internes et tiers, le questionnaire CyberVadis inclut des questions spécifiques au RGPD afin d’évaluer si l’infrastructure de l’entreprise couvre ou non les exigences introduites par la nouvelle réglementation. Plus particulièrement, nos analystes vérifient les points suivants :
Les rôles en charge des obligations en matière de confidentialité des données sont attribués.
Le traitement des données personnelles est clairement identifié et géré.
Le transfert des données personnelles est identifié, et les exigences de confidentialité sont respectées.
La confidentialité des données est prise en compte dans le processus d’achat et la méthodologie de gestion des projets.
Les utilisateurs sont sensibilisés à la question de la confidentialité des données.
Les principes de traitement des données sont vérifiés (légitimité, exercice des droits, conservation, etc.).
Une procédure est en place pour informer les personnes en charge du contrôle des données et/ou de la réglementation en cas de violation concernant des données personnelles.