- -il doit assister le responsable du traitement pour assurer la conformité aux obligations de sécurité et à l'évaluation de l'impact sur la vie privée (coresponsabilité) ;
- -il doit restituer au responsable ou effacer les données à l'issue du traitement ;
- -il doit tenir un registre écrit de toutes les catégories de traitements mises en oeuvre pour le compte de chaque responsable du traitement ;
- -il doit prendre des mesures pour s'assurer que les membres du personnel ayant accès aux données personnelles procèdent au traitement conformément aux instructions. Le sous-traitant est responsable de son personnel ;
- -il doit notifier toute violation de données personnelles au responsable du traitement, dès qu'il en a connaissance et sans délai ;
- -il doit désigner un DPD (délégué à la protection des données) dans des cas précis, y compris lorsque le traitement requiert un suivi régulier et systématique des personnes concernées à une grande échelle, ou que les données sont liées à des condamnations pénales et à des infractions.
Le suivi de la sécurité d'un fournisseur
Ce suivi doit être continu dans le temps, et se faire sur la base d'audits par lesquels les fournisseurs doivent, à intervalle régulier, justifier de l'évolution de leur niveau de sécurité et des mesures implémentées. Il peut être également opportun de prévoir des rendez-vous périodiques avec tous ses fournisseurs pour les tenir informés des enjeux métiers et menaces sectorielles.
Faites appel à des pirates éthiques !
Yogosha, c'est le bug bounty à la française ; la plateforme met en relation des entreprises avec des communautés de "hackers éthiques", rémunérés pour les failles de sécurité qu'ils détectent. Certains Gafa ont déjà lancé leur propre programme de bug bounty (littéralement, "prime pour faille") en interne. Chez Yogosha, les 200 chercheurs sourcés dans le monde entier sont sélectionnés à l'entrée et leur identité est systématiquement vérifiée. Une main-d'oeuvre d'autant plus salvatrice que l'ANSSI a relevé une pénurie de 75 % de ce type de profils en France. Par exemple, un grand compte ayant fait appel aux services de Yogosha pour tester une application mobile a vu remonter 40 failles en cinq jours, chacune facturée 500 euros. Une matrice permet d'évaluer leur coût en fonction de l'historique de l'entreprise, de sa perception du risque et du périmètre concerné (secteur d'activité). Le principe demeure celui de la place de marché, le client positionne le prix comme il le souhaite mais doit jouer le jeu au risque de ne pas attirer les talents. Le meilleur chercheur peut percevoir jusqu'à 50 000 euros annuels.