L'exigence d'évaluation des fournisseurs EIVP
L'article 35 du RGPD exige des évaluations d'impact sur la protection des données pour les traitements susceptibles d'entraîner un risque élevé pour les droits et libertés des individus. Le traitement à grande échelle de données personnelles (article 35(3)(b)) entre dans cette exigence. Lorsqu'une organisation déploie un outil d'anonymisation pour le traitement à grande échelle de PII, l'EIVP doit évaluer l'outil en tant que sous-traitant de données selon l'article 28 du RGPD.
L'article 28 exige que les sous-traitants de données fournissent "des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées" et que le traitement soit "réglementé par un contrat ou un autre acte juridique en vertu du droit de l'Union ou du droit d'un État membre." Un DPO complétant une EIVP pour un outil d'anonymisation doit documenter : les mesures de sécurité de l'outil, ses relations avec les sous-traitants, sa résidence des données, ses procédures de notification des violations de données, et l'accord de traitement des données régissant la relation.
La certification ISO 27001 réduit considérablement le fardeau de documentation de l'EIVP : une recherche de la BSI (2024) a révélé que les organisations certifiées ISO 27001 réduisent le temps des questionnaires de sécurité de 73 %. Gartner a constaté que l'approvisionnement en sécurité des entreprises du Fortune 500 exige l'ISO 27001 dans 78 % des RFP. Lorsque l'outil d'anonymisation est certifié ISO 27001, l'EIVP peut se référer à la certification plutôt que d'essayer de vérifier indépendamment les contrôles de sécurité de l'outil.
La liste de contrôle d'évaluation des fournisseurs de l'article 28
Les DPO évaluant un outil d'anonymisation par rapport aux exigences de l'article 28 du RGPD doivent vérifier :
1. Accord de traitement des données : Un DPA conforme au RGPD est-il disponible ? Couvre-t-il toutes les dispositions requises de l'article 28 : traitement uniquement sur instructions documentées, obligations de confidentialité, mesures de sécurité, contrôles des sous-traitants, assistance aux droits des personnes concernées, suppression ou retour à la fin du contrat, et coopération lors des audits ?
2. Documentation des mesures de sécurité : Les mesures de sécurité techniques et organisationnelles sont-elles documentées de manière à satisfaire à l'article 32 ? Pour les outils certifiés ISO 27001, la certification et la déclaration d'applicabilité fournissent cette documentation.
3. Transparence des sous-traitants : L'outil utilise-t-il des sous-traitants ? Sont-ils listés et accessibles ? Les changements de sous-traitants nécessitent une notification préalable au responsable du traitement. Les outils utilisant plusieurs fournisseurs d'infrastructure cloud (pour la redondance, CDN, etc.) doivent documenter chaque sous-traitant.
4. Résidence des données : Où les données personnelles sont-elles traitées et stockées ? Pour les DPO basés dans l'UE, une résidence des données dans l'UE ou une architecture à connaissance nulle (aucune donnée personnelle transmise aux serveurs) est requise. Les outils basés aux États-Unis nécessitent des SCC ou des BCR documentés.
5. Notification des violations de données : Quelles sont les procédures de notification des violations de l'outil ? L'article 33 du RGPD exige une notification à l'autorité de contrôle dans les 72 heures. L'article 28 exige que les sous-traitants notifient les responsables du traitement "sans retard injustifié" après avoir pris connaissance d'une violation — ce qui doit être fait avant le délai de 72 heures.
6. Disponibilité de l'EIVP : Le fournisseur de l'outil a-t-il complété sa propre EIVP ? Est-elle disponible pour les clients d'entreprise pour inclusion dans l'EIVP du responsable du traitement ? Un fournisseur d'outil qui n'a pas complété une EIVP pour son propre traitement crée un vide de documentation dans l'EIVP du responsable du traitement.
7. Support à l'effacement et à la portabilité : L'outil peut-il remplir les obligations de l'article 17 (effacement) et de l'article 20 (portabilité) ? Pour les outils à connaissance nulle où aucune donnée personnelle n'est stockée, la question de l'effacement peut ne pas se poser — mais l'EIVP doit documenter cela.
La compagnie d'assurance autrichienne DPO complétant une EIVP pour son processus d'anonymisation des plaintes peut demander et recevoir : certificat ISO 27001, documentation d'hébergement dans l'UE, EIVP et DPA d'un fournisseur d'outil conforme. Ces quatre documents fournissent une couverture complète de l'EIVP de l'article 28. L'audit de l'autorité de contrôle constate que l'EIVP est complète.
Sources :