En tant que DPO externalisé et en tant que consultants accompagnant nos clients dans la mise en œuvre de leur conformité au RGPD, nous sommes quotidiennement confrontés au casse-tête de l’évaluation de la conformité RGPD des tiers.
Le RGPD indique que le responsable de traitement doit s’assurer que le sous-traitant présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée.
Dans les faits, la question qui revient régulièrement est de savoir, comment il est possible de répondre à cette exigence à un coût raisonnable tout en mettant en œuvre un processus simple : la réponse spontanée trouvée par bon nombre de DPO est l’envoi d’un questionnaire.
Avec un peu de recul, quelle hérésie !
Nos clients se recentrent sur leur savoir-faire et externalisent de plus en plus les fonctions qui ne correspondent pas à leur cœur de métier. De ce fait, mécaniquement, toutes les parties prenantes deviennent sous-traitantes. Les questionnaires d’évaluation s’empilent sur les bureaux des DPO : il existe une pile pour les questionnaires où ils agissent en tant que responsables de traitement et une autre pile où ils agissent en tant que sous-traitants…
Piles qu’il faut traiter, questionnaires qu’il faut exploiter, a priori au sein d’une grille pour lui attribuer un score, conclure sur la conformité ou au contraire sur des demandes complémentaires ou des exigences contractuelles en matière de mise en conformité. L’évaluation devant être périodique, la même démarche sera entreprise l’année prochaine..., si la démarche de l’année précédente est terminée...
Ce sujet constitue sans doute le principal irritant pour le DPO !
Il est important de garder à l’esprit le coût écologique de cette démarche. De plus, il est tout aussi important d’insister sur le côté anachronique de ce fonctionnement dans lequel les entreprises s’auto-saturent administrativement.
En tant que consultant, notre valeur ajoutée réside dans l’amélioration des processus, dans notre capacité à trouver des solutions aux irritants de nos clients. Concernant cet irritant en particulier nous travaillons en partenariat avec une plateforme digitale, RGPD Check, créée, développée et administrée par Me Franklin Brousse, Avocat, multi-entrepreneur qui a associé dans cette solution, sa compétence en protection des données personnelles et un processus numérisé de traitement des évaluations.
Cette plateforme nous permet d’apporter deux types de solutions pour nos clients :
Une plateforme tierce de confiance, qui permet à un sous-traitant de mettre à disposition de l’ensemble de ses responsables de traitement, une évaluation RGPD de sa conformité sur la base d’un questionnaire couvrant toutes les exigences du règlement et ce, en une seule fois pour tous ses clients.
Pour un responsable de traitement, cette plateforme sur laquelle il invite ses sous-traitants, lui permet de monitorer la conformité RGPD de l’ensemble de ses sous-traitants via un tableau de bord de monitoring.
Lors d’une première entrée en relation, il pourra consulter la plateforme au préalable, pour s’assurer immédiatement de la présence ou non de son sous-traitant et de son évaluation.
Cette technologie offre aussi une solution en « marque blanche » qui permet pour un responsable de traitement de gérer son propre questionnaire RGPD bien sûr, mais pourquoi pas aussi RSE, Qualité, ainsi que toutes autres formes de conformité…
La digitalisation de ce processus offre à nos clients un retour sur investissement spectaculaire sur ce volet de la gestion de la conformité des tiers, en associant à un outil numérique le haut niveau d’expertise et d’accompagnement par Grant Thornton.
