Cette checklist est un outil opérationnel permettant d’évaluer le niveau de conformité à la protection des données d’un prestataire externe avant de lui confier le traitement de données personnelles pour le compte du responsable de traitement. Les questions couvrent les aspects techniques, organisationnels et réglementaires requis par le RGPD, avec une attention particulière portée à l’art. 28 concernant les sous-traitants. Une analyse structurée du prestataire s’inscrit pleinement dans un processus d’évaluation des risques (Risk Assessment) qui prend également en compte les risques introduits par la chaîne d’approvisionnement.
Instructions pour le prestataire. Ce document est un modèle de due diligence en matière de protection des données que le responsable de traitement soumet au prestataire externe avant la formalisation de la relation contractuelle. Pour chaque point, veuillez remplir la colonne Réponse avec les informations demandées. Lorsque la mention « Si oui, préciser » ou une formule équivalente est indiquée, veuillez fournir les détails uniquement en cas de réponse affirmative. Les réponses incomplètes ou absentes seront considérées comme des indicateurs de risque aux fins de l’évaluation.
[Callforaction-RA]
1. Données traitées
| Point / Question | Réponse |
|---|---|
| Quels traitements seront effectués par le prestataire pour le compte du responsable de traitement ? |
2. Personnes autorisées à traiter les données
| Point / Question | Réponse |
|---|---|
| La liste des personnes autorisées à traiter les données a-t-elle été établie ? | |
| Les membres de cette liste ont-ils été formellement désignés ? | |
| La liste est-elle vérifiée au moins annuellement ? | |
| Un programme de formation a-t-il été mis en place pour ces personnes, avec des sessions tenues par du personnel qualifié et/ou du matériel de formation remis à chaque personne ? |
3. Sous-traitants ultérieurs
| Point / Question | Réponse |
|---|---|
| Pour le traitement effectué pour le compte du responsable, des sous-traitants ultérieurs seront-ils impliqués ? | Si oui, indiquer pour chaque sous-traitant la raison sociale, le traitement confié, le pays où les données pourraient être transférées et la légitimité de tout transfert hors UE. |
4. Protection des données dès la conception et par défaut
| Point / Question | Réponse |
|---|---|
| Des politiques internes et des mesures satisfaisant aux principes de protection des données dès la conception et par défaut seront-elles adoptées ? | Si oui, préciser les mesures adoptées. |
5. Registre des activités de traitement
| Point / Question | Réponse |
|---|---|
| Le prestataire tient-il un Registre des catégories d’activités de traitement en tant que sous-traitant, pour les traitements effectués pour le compte du responsable (art. 30.2 RGPD) ? | |
| Un Registre des activités de traitement a-t-il été établi en tant que responsable de traitement (art. 30.1 RGPD) ? |
6. Gestion des violations de données personnelles
| Point / Question | Réponse |
|---|---|
| En cas de violation de données personnelles impliquant des données traitées pour le compte du responsable, une procédure de notification au responsable est-elle prévue ? | Si oui, en fournir une brève description. |
7. Analyse des risques sur la protection des données
| Point / Question | Réponse |
|---|---|
| Une analyse des risques a-t-elle été menée sur les processus à haut risque dans lesquels des données personnelles sont traitées pour le compte du responsable ? |
8. Sécurité du traitement
| Point / Question | Réponse |
|---|---|
| Des mesures techniques et organisationnelles adaptées au risque sont-elles prévues pour les données personnelles traitées pour le compte du responsable ? | Si oui, décrire les mesures adoptées. |
9. Traitement des données sur support papier
| Point / Question | Réponse |
|---|---|
| Des instructions écrites ont-elles été données aux personnes autorisées pour le contrôle et la garde des actes et documents contenant des données personnelles traitées pour le compte du responsable ? | |
| Les documents contenant des données sensibles ou judiciaires sont-ils conservés de manière à empêcher l’accès à des personnes non autorisées et restitués à la fin des opérations ? | |
| Un système de contrôle des accès aux environnements physiques (bureaux, entrepôts, locaux techniques) est-il actif ? | |
| Existe-t-il un registre d’identification des personnes autorisées à accéder aux archives contenant des données sensibles ou judiciaires, notamment en dehors des heures de travail ? |
10. Traitement des données avec des outils électroniques
| Point / Question | Réponse |
|---|---|
| Les ordinateurs utilisés sont-ils connectés à un réseau local ? Si oui, le réseau est-il connecté à Internet ? | Si oui, préciser. |
| Des politiques d’utilisation des outils informatiques ont-elles été adoptées ? | |
| Des appareils portables (ordinateurs portables, smartphones, tablettes) sont-ils utilisés pour le traitement des données ? Si oui, existe-t-il des politiques spécifiques pour ces appareils ? | Si oui, préciser. |
| Une procédure de sauvegarde hebdomadaire au minimum est-elle prévue ? | |
| Les supports amovibles contenant des copies de données sont-ils conservés dans des archives fermées ou avec des systèmes empêchant les accès non autorisés ? | |
| Les supports de sauvegarde sont-ils détruits ou reformatés lorsqu’ils ne sont plus utilisés ? | |
| Des procédures de restauration de la disponibilité des données et des systèmes ont-elles été adoptées ? | |
| La maintenance des systèmes est-elle confiée à des tiers ? Si oui, existe-t-il un registre à jour des intervenants avec l’indication des interventions effectuées ? | Si oui, préciser. |
| Indiquer les mesures de sécurité adoptées pour le traitement des données effectué pour le compte du responsable via des outils électroniques. |
11. Système d’authentification informatique
| Point / Question | Réponse |
|---|---|
| Les utilisateurs disposent-ils d’identifiants personnels (nom d’utilisateur et mot de passe) pour accéder aux systèmes ? | |
| Les mots de passe sont-ils uniques pour chaque utilisateur et connus uniquement de l’intéressé ? | |
| Des instructions écrites ont-elles été fournies aux personnes autorisées pour garantir la confidentialité des identifiants et la garde des appareils en usage exclusif ? | |
| Décrire les caractéristiques des mots de passe (longueur minimale, complexité, expiration). | |
| Les mots de passe sont-ils modifiés à la première utilisation et changés au moins tous les six mois (tous les trois mois pour les données sensibles) ? | |
| Une procédure de désactivation des identifiants est-elle prévue lorsqu’une personne perd son droit d’accès ? | |
| Des instructions sont-elles données pour ne pas laisser l’outil électronique sans surveillance et accessible pendant la session de traitement ? | |
| En cas d’absence prolongée de la personne autorisée ou d’interventions système urgentes, existe-t-il des dispositions écrites définissant les modalités d’accès du responsable aux données et aux outils ? | Si oui, préciser. |
| Existe-t-il une copie des identifiants confiée par écrit à un gardien responsable, avec l’obligation d’informer rapidement l’utilisateur de tout accès effectué ? |
12. Administrateurs système
| Point / Question | Réponse |
|---|---|
| Les administrateurs système ont-ils été évalués pour leur expérience, leurs capacités et leur fiabilité, et désignés par écrit avec indication de leurs domaines d’intervention ? | |
| Les informations d’identification des administrateurs système et la liste des fonctions attribuées sont-elles conservées dans un document à jour ? | |
| Le travail des administrateurs est-il soumis à une vérification au moins annuelle pour contrôler sa conformité aux mesures de sécurité prévues ? | |
| Un enregistrement des accès logiques (access log) effectués par les administrateurs système est-il réalisé ? | |
| Les enregistrements des logs d’accès sont-ils conservés et tenus constamment à la disposition du responsable ? |
13. Politiques et procédures
| Point / Question | Réponse |
|---|---|
| Existe-t-il une politique décrivant le plan de réponse aux incidents informatiques ? | Si oui, en fournir la preuve. |
| Existe-t-il une procédure d’élimination et de recyclage des appareils basée sur les normes applicables ? | |
| Les procédures de gestion de l’exercice des droits des personnes concernées prévus par le RGPD (accès, rectification, effacement, etc.) sont-elles définies pour les traitements confiés au prestataire ? | |
| Lister les procédures disponibles. |
14. Délégué à la protection des données (DPO)
| Point / Question | Réponse |
|---|---|
| Votre société a-t-elle nommé un DPO ? | Si oui, indiquer le nom et les coordonnées. |
15. Transfert de données
| Point / Question | Réponse |
|---|---|
| Votre société traitera-t-elle des données en dehors de l’établissement principal pour le compte du responsable ? | |
| Si oui, le processus est-il géré conformément aux exigences du RGPD ? | Si oui, préciser. |
| Dans quels centres de données les données sont-elles conservées ? Préciser : a) s’ils appartiennent au prestataire ou à des tiers ; b) s’ils sont situés dans des pays de l’UE ou hors UE. | |
| En cas de transfert vers des pays hors UE, indiquer quels pays et la base juridique du transfert (art. 44 RGPD). | Si applicable, préciser. |
| Votre société fournit-elle des services en mode cloud pour la prestation fournie ? | |
| Si oui, le processus est-il géré conformément aux exigences du RGPD et au décalogue sur le cloud computing de l’Autorité italienne de protection des données (Garante) ? | Si oui, préciser. |
| Quelles mesures de sécurité le prestataire adopte-t-il pour protéger les données dans le cloud ? | |
| Qui est le véritable fournisseur du service cloud acquis ? S’agit-il d’une société unique ou d’un consortium ? | |
| En cas d’interruption de la connexion Internet, est-il possible de continuer à utiliser les services sans accès au cloud ? | |
| En combien de temps le système peut-il être rétabli ? Existe-t-il des plans de continuité pour les services essentiels ? | |
| En cas de récupération des données, dans quel format sont-elles délivrées ? | |
| Existe-t-il des garanties de confidentialité dans le cas où un concurrent partagerait les mêmes services cloud ? | |
| Dans quel État les données sont-elles conservées ? Est-il possible de choisir des serveurs situés exclusivement sur le territoire national ou dans l’Union européenne ? | |
| La technologie cloud utilisée est-elle propriétaire ? Les données peuvent-elles être facilement exportées vers d’autres prestataires ? | |
| En cas de violation ou de perte de données, le prestataire garantit-il une indemnisation du dommage ? |
16. Certifications
| Point / Question | Réponse |
|---|---|
| Votre société est-elle certifiée ISO/IEC 27001 ou possède-t-elle d’autres certifications pertinentes en matière de sécurité de l’information ? | Si oui, indiquer les certifications possédées. |
17. Développement logiciel sécurisé (si applicable)
| Point / Question | Réponse |
|---|---|
| Les directives pour le développement logiciel sécurisé de l’AGID ont-elles été suivies ? | Si oui, indiquer la dernière version adoptée. |
| D’autres directives de développement sécurisé ont-elles été adoptées (ex. OWASP) ? | Si oui, indiquer lesquelles et la version de référence. |
18. Contrôles essentiels de cybersécurité
| Point / Question | Réponse |
|---|---|
| Applicabilité DORA : votre société opère-t-elle dans le secteur financier ou assurantiel, ou fournit-elle des services TIC (ex. cloud, analyse de données) à des entreprises de ces secteurs ? | |
| Applicabilité NIS : votre société opère-t-elle dans des secteurs critiques (transports, banques, infrastructures financières) au sens de la directive NIS 1, ou en tant que fournisseur numérique, gestionnaire de déchets, services postaux ou organisation de recherche au sens de la NIS 2 ? | |
| Inventaire des appareils et logiciels : existe-t-il un inventaire des systèmes, logiciels, appareils, services et applications utilisés dans le périmètre de l’entreprise, et est-il maintenu à jour ? | |
| Les services web tiers (réseaux sociaux, cloud, courrier électronique, etc.) auxquels vous êtes inscrits sont-ils limités à ceux strictement nécessaires ? | |
| Les informations, données et systèmes critiques à protéger en priorité sont-ils identifiés ? | |
| Un référent responsable de la coordination des activités de gestion et de protection des informations et des systèmes informatiques a-t-il été nommé ? | |
| Les réglementations pertinentes en matière de cybersécurité applicables à votre organisation sont-elles identifiées et respectées ? | |
| Protection contre les logiciels malveillants : tous les appareils qui le permettent sont-ils équipés d’un logiciel antivirus/antimalware régulièrement mis à jour ? | |
| Gestion des mots de passe et des comptes : les mots de passe sont-ils différents pour chaque compte, d’une complexité adéquate, et l’utilisation de l’authentification à deux facteurs est-elle évaluée ? | |
| Le personnel autorisé à accéder aux systèmes dispose-t-il d’utilisateurs personnels non partagés ? Les comptes inutilisés sont-ils désactivés ? | |
| Chaque utilisateur ne peut-il accéder qu’aux informations et systèmes de sa compétence (principe du moindre privilège) ? | |
| Formation et sensibilisation : le personnel est-il formé et sensibilisé aux risques de cybersécurité et à l’utilisation sécurisée des outils de l’entreprise ? | |
| La configuration des systèmes et des appareils est-elle gérée par du personnel expert ? Les identifiants par défaut sont-ils toujours remplacés ? | |
| Des sauvegardes périodiques des informations et données critiques sont-elles effectuées ? | |
| Protection des réseaux : les réseaux et systèmes sont-ils protégés contre les accès non autorisés par des pare-feu ou d’autres outils anti-intrusion ? | |
| En cas d’incident (attaque détectée, malware), les responsables de la sécurité sont-ils informés et les systèmes sont-ils sécurisés par du personnel expert ? | |
| Tous les logiciels utilisés (y compris les firmwares) sont-ils mis à jour vers la dernière version recommandée par le fabricant ? Les appareils et logiciels obsolètes sont-ils mis hors service ? |
19. Utilisation de l’intelligence artificielle
| Point / Question | Réponse |
|---|---|
| Utilisez-vous des algorithmes ou d’autres formes d’intelligence artificielle ? | Si oui, préciser dans quels processus. |
| Adoptez-vous un modèle structuré pour la gestion et le suivi des systèmes d’IA (AI Conformity Assessment) ? | |
| Une évaluation d’impact sur les droits fondamentaux (FRIA) a-t-elle été menée ? |
20. Data Act
| Point / Question | Réponse |
|---|---|
| Opérez-vous dans le secteur de l’IoT ou produisez-vous/distribuez-vous des appareils connectés qui génèrent des données ? | |
| Utilisez-vous des technologies de préservation de la vie privée (Privacy Preserving Technologies) ? | Si oui, indiquer lesquelles. |
21. Whistleblowing (Décret législatif 24/2023)
| Point / Question | Réponse |
|---|---|
| Votre société est-elle soumise à l’application du décret législatif 24/2023 ? | |
| Si oui, les procédures prévues par le décret ont-elles été adoptées ? | Si oui, préciser. |
Approfondissements utiles
- Risk Assessment — pour structurer une évaluation des risques incluant les prestataires externes et la chaîne d’approvisionnement.
- Conformité RGPD — pour vérifier et maintenir la conformité au Règlement européen sur la protection des données.
- Conformité ISO/IEC 27001 — pour mettre en œuvre ou maintenir un système de gestion de la sécurité de l’information certifié.
Questions fréquentes
- Qui doit remplir cette checklist de due diligence en matière de protection des données ?
- La checklist est destinée au prestataire externe qui traitera des données personnelles pour le compte du responsable. C’est au prestataire de répondre aux questions et de fournir les preuves demandées ; le responsable l’utilise pour évaluer le niveau de conformité avant de formaliser la relation contractuelle et la désignation en tant que sous-traitant conformément à l’art. 28 du RGPD.
- À quelle étape du processus de sélection cette due diligence doit-elle être utilisée ?
- Idéalement avant la signature du contrat, pendant la phase de qualification du prestataire. Il est opportun de la répéter périodiquement — au moins une fois par an — pour vérifier que le prestataire maintient dans le temps les mesures déclarées, conformément aux dispositions de l’art. 28 du RGPD.
- Que faire si le prestataire n’est pas en mesure de répondre à certaines questions ?
- Les lacunes dans les réponses sont elles-mêmes un indicateur de risque. Le responsable doit évaluer la gravité des manquements par rapport au type de données traitées et décider s’il convient de procéder avec des mesures compensatoires, d’exiger un plan de mise en conformité avec des échéances définies, ou d’exclure le prestataire de la sélection.
[Callforaction-RA-Footer]
Leave a Reply