Le fait de manipuler plus de données implique plus de responsabilités. Aujourd’hui, les organisations qui collectent, traitent, transmettent ou stockent des données personnelles se trouvent dans un contexte en évolution rapide. Des pressions sont exercées de toutes parts pour que les données personnelles soient correctement traitées et protégées.

Les réglementations en matière de confidentialité et de sécurité prennent de l’ampleur dans toutes les juridictions. Aux États-Unis par exemple, 86 % des clients sont de plus en plus préoccupés par la protection de leur vie privée. « Le grand public n’a jamais été sensible au préjudice potentiel qu’il pourrait subir si ses données étaient utilisées à mauvais escient ou de manière abusive », déclare Chris Paterson, Director of Strategy, Third Party Management chez OneTrust.

Protéger les données personnelles et garantir la sécurité dans les systèmes internes est déjà un défi. Mais que se passe-t-il lorsque les données sont à l'extérieur de l’entreprise ? Une organisation moyenne travaille avec 10 tiers différents. Et pour chacun de ces tiers, il existe de 60 à 90 fois plus de relations avec des énièmes parties.

C’est beaucoup ! Mais quelle que soit l’entité qui détient vos données, toute violation ou tout incident relèvera de la responsabilité de votre organisation.

L’évolution des réglementations en matière de confidentialité et de sécurité, et la manière dont les données circulent au cours du cycle de vie de la gestion des tiers, doivent être surveillées et supervisées en continu. Comment faire pour garantir la protection et la conformité de votre organisation ?

La solution Gestion des tiers de OneTrust propose une approche centrée sur les données et basée sur les risques pour augmenter la visibilité sur vos engagements avec vos tiers. 
 

Intégrer la conformité et la sécurité en matière de confidentialité

Il existe des centaines de lois, de réglementations, de normes et de référentiels conçus pour aider les organisations à gérer correctement les données, et presque toutes incluent des conseils sur la manière de gérer les tiers.

« Aucun de ces référentiels ne se limite aux opérations internes des organisations », explique Chris Paterson. « Ils exigent tous qu’elles imposent les mêmes normes et attentes directement à leurs tiers. »

Et cela ne s’applique pas seulement à la sécurité des données. Chaque fois que des données personnelles sont collectées, transmises, traitées ou stockées par des tiers, il y a un risque important pour la confidentialité.

Un équilibre délicat doit donc être trouvé pour prendre en compte à la fois les normes de sécurité de l’information et les normes de protection de la vie privée pour assurer la conformité. Les deux cadres de référence suivants ont récemment été mis à jour pour prendre les risques liés à la sécurité et à la confidentialité en compte :

• la série ISO 27000 : la première norme de la série ISO 27000, l’ISO 27001, introduite en octobre 2005, est conçue pour certifier les politiques de sécurité de l’information. La norme ISO 27701 est apparue 14 ans plus tard, en août 2019. Elle se concentre sur la protection de la vie privée, tout en intégrant la norme reconnue de sécurité de l’information.
    
• normes NIST : le cadre de référence NIST CSF a été introduit pour la première fois en février 2014 sous la forme d’un ensemble de directives, de bonnes pratiques et de normes conçues pour aider les organisations à gérer et à réduire les risques de cybersécurité. Le cadre de référence NIST Privacy Framework est apparu six ans plus tard, en janvier 2020 et vient le compléter en se concentrant particulièrement sur la gestion des risques liés à la confidentiailité.

Étape 1 : la prise en compte

La première étape consiste à centraliser la collecte de toutes les informations concernant les tiers, ce qui élimine plusieurs points d’entrée et angles morts potentiels plus en aval. 

Cette centralisation peut être effectuée via un portail libre-service unique, où les employés peuvent demander l’ajout de tiers, de fournisseurs ou d’autres parties, ou dans le cadre d’un outil de gestion du cycle de vie des contrats ou de planification des ressources.

Un tel processus de prise en compte en libre-service donne aux organisations une longueur d’avance sur la collecte d’informations critiques sur les tiers, telles que leurs certifications dans le domaine de la protection de la vie privée, la portée de l’engagement et les types de données impliquées. Les tiers peuvent ainsi être classés et hiérarchisés dès le début, en fonction du risque inhérent associé pour l’organisation.
 

Étape 2 : les vérifications préalables

La deuxième étape consiste à effectuer des vérifications de diligence raisonnable sur les tiers potentiels. Voici quelques questions à se poser au cours de cette étape :

• comment vérifier que ce tiers potentiel n’est pas exposé politiquement ?
  
  
• comment vérifier qu’il n’y a pas de problème de blanchiment d’argent, de corruption ou de pots-de-vin ? 

Pour répondre à ces questions, il faut en général vérifier si les tiers apparaissent dans les listes de sanctions, les listes de surveillance ou même dans les médias pour identifier les problèmes susceptibles de poser un risque élevé.

Dans la plupart des cas, l’outil de gestion des risques tiers de OneTrust va plus loin que la confidentialité et la sécurité. Il est important de passer tous les autres types de risques en revue, tels que la conformité réglementaire, l’éthique, l’ESG, la géopolitique, etc., qui peuvent avoir un impact potentiel sur vos opérations.

L’objectif de cette étape est de mettre au jour tous les risques associés aux tiers et, si votre organisation décide malgré tout de poursuivre la relation, de concevoir une approche adaptée comprenant une évaluation et un plan d’atténuation.

Étape 3 : l’évaluation

C'est l’étape la plus gourmande en temps et en ressources. C’est également là que la gestion des risques peut être combinée à des évaluations de la protection de la vie privée et à d’autres préoccupations de conformité pour une approche plus exhaustive.

Optimisez les évaluations en utilisant des outils dédiés dotés de modèles intégrés pour traiter divers domaines de risque, notamment la confidentialité et la conformité, la protection des données, les cyber-risques, etc. 

Un référentiel de risques fournisseurs peut également fournir des informations prévalidées pour recouper les informations fournies par le tiers.  
 

Étape 4 : la revue

Il est maintenant temps de passer en revue toutes les informations et perspectives recueillies sur les tiers au cours des étapes précédentes.  

Par exemple, supposons qu’un tiers en cours de revue démontre une posture de sécurité mature, mais qu’il lance à peine son programme de confidentialité. Il ne peut pas définir les données qu’il collecte, les éléments de données recueillis, ni la finalité du traitement des données. Cela représente un risque important pour votre organisation en matière de confidentialité.

Sur la base de ces constatations, les parties prenantes peuvent désormais attribuer une cote de risque et un niveau de sévérité adaptés, et déterminer la meilleure approche pour gérer le tiers en question. 

Étape 5 : la surveillance

Au fur et à mesure que de nouveaux risques et réglementations apparaissent et que la portée du service d’un tiers évolue, la mise en place d’une surveillance continue est essentielle pour maintenir une relation saine.

Une surveillance efficace comprend généralement :   

• une évaluation des domaines de risque spécifiques
  
  
• la détermination d’une fréquence recommandée pour les évaluations
  
  
• la définition de ce qui doit être inclus dans le questionnaire envoyé à chaque tiers (en fonction des domaines spécifiques, des domaines d’activité, de la sécurité et de la confidentialité). 

« D’après mon expérience, c’est à cette étape que beaucoup d’organisations ont une formidable opportunité d’améliorer leur efficacité en automatisant la surveillance continue des tiers », déclare Paterson.

5 conseils pour réduire son exposition aux risques tiers

Votre organisation continue de développer son réseau tiers ? Il est alors nécessaire d’établir un processus fiable pour identifier les risques et réduire l’exposition dans tous les domaines. 

Voici quelques conseils éprouvés pour maintenir votre conformité en termes de protection des données personnelles et de sécurité à chaque étape du cycle de vie de la gestion des tiers :

1er conseil : comprendre où vont les données

Il est courant pour les organisations de gérer des centaines ou des milliers de tiers. Mais concernant les données personnelles, il ne suffit pas de surveiller les processus tiers. Il faut suivre la façon dont les données passent de la tierce partie à la quatrième partie, puis à la énième partie, etc.

Pour comprendre la destination de vos données de façon exhaustive, interrogez vos tiers potentiels sur leurs propres tiers. C’est particulièrement critique pour les opérations complexes, telles que :

• les transferts de données internationaux, qui impliquent souvent des exigences de conformité supplémentaires,
  
  
• celles qui utilisent des tiers qui proposent un large éventail de services, car chaque service peut impliquer des types de données différents,
  
  
• les ajouts ou les modifications du champ d’application d’un tiers qui nécessitent des mises à jour des contrats et des évaluations.

Créez un modèle qui aide vos équipes à visualiser chaque étape où se trouvent vos données entre les différentes parties.

4e conseil : anticiper les imprévus

L’une des erreurs les plus courantes dans la gestion du risque tiers est de dépenser la majorité des ressources pour l’évaluation et l’intégration, en oubliant la gestion continue. Elle concerne pourtant la phase la plus longue du cycle de vie des tiers et elle est essentielle pour atténuer les risques à long terme.

Préparez votre organisation aux imprévus en développant sa capacité de défense avec vos tiers. Cela peut comprendre plusieurs activités :

• organiser toutes les données dans un inventaire unique, auquel les équipes de protection des données personnelles, de sécurité et tierces peuvent accéder et qu’elles peuvent comprendre
  
  
• aligner les différentes équipes parties prenantes pour partager les idées qui peuvent aider à mieux atteindre des objectifs communs
  
  
• faire un exercice de mise en situation avec les tiers critiques pour identifier ce qu’il se passerait en cas de violation de données
  
  
• examiner tout changement potentiel susceptible d’avoir un impact sur l’exposition au risque de l’organisation et affiner continuellement les pratiques de gestion des tiers établies.

L’automatisation des processus routiniers peut grandement aider à rationaliser les opérations et à réduire les efforts manuels chronophages et répétitifs. Voici les principales opportunités d’automatisation pour chaque étape du cycle de vie de la gestion des tiers :

• à la prise en compte : automatisez la collecte des données par l’intermédiaire d’un portail en libre-service, qui peut être utilisé par les équipes pour demander un nouveau service tiers ou pour consulter les informations sur les tiers existants.
  
  
• à l’étape de vérification préalable : utilisez l’automatisation pour faire votre diligence raisonnable initiale, pour vérifier les sanctions gouvernementales et les listes de surveillance et pour analyser les données concernant chaque tiers potentiel.
  
  
• à l’évaluation  : mettez en œuvre une logique de workflow pour identifier automatiquement les écarts ou les risques, pour déclencher des réponses adaptées en fonction des informations recueillies et pour collecter des données facilitant la prise de décision à grande échelle.
  
  
• à l’étape de passage en revue : créez des tâches et attribuez-les automatiquement aux équipes concernées pour effectuer des revues des tiers en fonction des réponses au questionnaire et d’autres données collectées.
  
  
• à l’étape de surveillance : mettez en œuvre des systèmes automatisés pour détecter les menaces et pour envoyer des alertes aux équipes en cas de problème ou de changement dans le profil de risque des tiers.
  
  
• pour l’analyse : utilisez des outils d’analyse de données pour identifier automatiquement les tendances chez les tiers et pour générer des rapports et une analyse des risques pour les parties prenantes.

Priorisation de la protection des données personnelles dans la gestion des tiers

Alors que les organisations continuent d’accroître le nombre de tiers qu’elles utilisent, et par conséquent, le volume global de données et leur exposition aux risques, il devient encore plus essentiel que la protection des données personnelles d’une part et la gestion des tiers de l’autre travaillent ensemble. Les équipes de protection des données personnelles introduisent un niveau supplémentaire de protection des données à la gestion des tiers existante, axé sur les risques, les réglementations et les mesures de sécurité.

Les conseils ci-dessus peuvent aider à accorder les équipes à chaque étape de votre cycle de vie de gestion des tiers. En centralisant toutes les données tierces et en utilisant l’automatisation pour rationaliser le processus, un programme intégré de protection des données personnelles et de gestion des tiers facilite la conformité, maintient la confiance et garantit l’intégrité des données.

Réduisez les risques, renforcez la confiance et consolidez la résilience de l’entreprise en unifiant la gestion des tiers en matière de protection des données personnelles, de sécurité, d’éthique et d’ESG. Réservez votre place pour une démo dès aujourd’hui.