Pourquoi les DPO doivent évaluer les outils d'anonymisation
Le RGPD impose une Analyse d'Impact relative à la Protection des Données (AIPD) pour les traitements à haut risque. Le traitement d'informations personnelles à grande échelle est à haut risque. Un outil d'anonymisation est un sous-traitant. Il relève des règles applicables aux sous-traitants. Vous devez l'évaluer avant la mise en production.
Deux choses sont requises. Les sous-traitants doivent offrir des «garanties suffisantes» en matière de sécurité. Tout traitement doit être régi par un contrat écrit. En tant que DPO, consignez les mesures de sécurité de l'outil, ses sous-traitants ultérieurs, le lieu d'hébergement, les procédures en cas de violation et l'accord de traitement des données (ATD).
La certification ISO 27001 réduit la charge de travail. Des recherches du BSI montrent que les organisations certifiées réduisent le temps consacré aux questionnaires de sécurité de 73 %. Des recherches de Gartner indiquent que la norme ISO 27001 est exigée dans 78 % des appels d'offres du Fortune 500. Un outil certifié vous permet de citer le certificat. Il n'est pas nécessaire de vérifier chaque contrôle manuellement. Les outils non certifiés demandent plus de vérifications manuelles.
Consultez notre présentation conformité et notre page sécurité pour en savoir plus.
Sept points à vérifier
Utilisez cette liste pour tout outil ou fournisseur d'anonymisation.
1. Accord de traitement des données. Un ATD conforme au RGPD est-il en place ? Il doit couvrir : le traitement uniquement sur vos instructions, les obligations de confidentialité, les mesures de sécurité, le contrôle des sous-traitants ultérieurs, l'aide aux demandes de droits, la suppression ou la restitution des fichiers, et les droits d'audit.
2. Documents de sécurité. Les mesures de sécurité sont-elles consignées par écrit ? Les fournisseurs certifiés ISO 27001 peuvent se référer à leur certificat et à leur Déclaration d'Applicabilité. Cela satisfait l'exigence.
3. Liste des sous-traitants ultérieurs. L'outil fait-il appel à des sous-traitants ? Sont-ils identifiés ? Vous avez besoin d'un préavis avant tout changement. Les fournisseurs cloud, CDN et outils OCR comptent tous. Les noms manquants sont une lacune fréquente.
4. Lieu d'hébergement. Vos fichiers sont-ils hébergés dans l'UE ? L'hébergement UE est le plus simple pour les entreprises européennes. Les outils à connaissance nulle conviennent aussi — aucun fichier ne quitte votre appareil. Les fournisseurs américains ont besoin de Clauses Contractuelles Types (CCT).
5. Notification de violation. Combien de temps faudra-t-il au fournisseur pour vous informer d'une violation ? La loi exige une notification à l'autorité de contrôle sous 72 heures. Le fournisseur doit vous alerter en premier. Vérifiez que l'ATD le confirme.
6. AIPD du fournisseur. Le fournisseur a-t-il réalisé sa propre AIPD ? Pouvez-vous la consulter ? Pas d'AIPD signifie une lacune dans vos propres dossiers. C'est un problème courant.
7. Effacement et portabilité. Le fournisseur peut-il traiter les demandes d'effacement et de portabilité ? Les outils à connaissance nulle ne stockent aucun fichier — l'effacement peut ne pas s'appliquer. L'AIPD doit le préciser.
Un bon fournisseur vous remet quatre documents : certificat ISO 27001, preuve d'hébergement UE, son AIPD et un ATD signé. Ces quatre éléments comblent toutes les lacunes de votre propre AIPD. Votre autorité de contrôle sera satisfaite.
Consultez notre FAQ DPO pour les questions courantes sur les évaluations de fournisseurs.