Modèle d'auditSous-traitant RGPD (avancé)

RGPDSous-traitant

Evaluation des mesures mise en œuvre pour répondre aux exigences RGPD en tant que sous-traitant. Version 1.0

1. Politique de conformité au RGPD

1.1. Les relations entre le Responsable de traitement et le sous-traitant font-elles l'objet d'un contrat ?

Oui

Non

1.2. Le contrat contient-il les clauses, définissant les responsabilités du sous-traitant, conformes au RGPD ?

Oui

Non

1.3. Merci de télécharger le contrat et/ou l'avenant

1.4. Le sous-traitant a-t-il formalisé une Politique de Protection des Données Personnelles ?

Oui

Non

1.5. Merci de télécharger la politique de confidentialité

1.6. Le sous-traitant a-t-il désigné un DPO ?

Oui

Non

1.7. Merci d'indiquer ses coordonnées (Nom, Prénom, téléphone, adresse email)

1.8. Le sous-traitant a-t-il nommé un Responsable de la Sécurité des Systèmes d'information (RSSI) ?

Oui

Non

1.9. Merci d'indiquer ses coordonnées (Nom, Prénom, téléphone, adresse email)

1.10. Le sous-traitant tient-il un registre des traitements pour les prestations confiées par le responsable de traitement ?

Oui

Non

1.11. Le sous-traitant a-t-il déjà procédé à un audit de conformité relatif aux données personnelles exploitées dans le cadre des prestations confiées par le responsable de traitement ?

Oui

Non

1.12. Une analyse de risque (Analyse d'impact définie dans le RGPD) a-t-elle été réalisée sur les prestations confiées du point de vue de la protection des DCP ?

Oui

Non

1.13. Le sous-traitant a-t-il défini et formalisé les procédures de protection des données (Exercice du droit des personnes, violation de données, privacy by design / default, ...) ?

Oui

Non

2. Ressources humaines

2.1. Le sous-traitant a-t-il défini et mis en œuvre un plan de sensibilisation des collaborateurs à la règlementation RGPD ?

Oui

Non

2.2. Le sous-traitant a-t-il fait signer un engagement de confidentialité, éventuellement dans le contrat de travail, à ses collaborateurs ayant accès aux données confiées par ses clients ?

Oui

Non

2.3. Le sous-traitant a-t-il mis en place une charte d'utilisation des ressources informatiques ?

Oui

Non

3. Contrôle d'accès physique aux locaux

3.1. Le sous-traitant a-t-il pris les mesures techniques et organisationnelles appropriées, conformes à l'état de l'art permettant de contrôler l'accès à ses locaux ?

Exemple : système de contrôle d'accès (lecteur identifiant, carte magnétique, carte à puce), (Remise) de clés, Verrouillage des portes (ouverture électrique des portes, etc.), Personnel de sécurité, vigiles, Installations de surveillance (système d'alarme, vidéo / CCTV), Connexion d'accès au centre de données, Revue régulière des autorisations permanentes d'accès

Oui

Non

3.2. Sélectionnez les mesures prises pour contrôler l'accès aux locaux

Portes fermées à toutes les entrées (par exemple, fermetures électroniques ; fermetures physiques ; etc.)

Présence d’un Personnel de sécurité (par exemple, sécurité au bureau d’entrée)

Systèmes de contrôle d’accès (par exemple, sécurité biométrique ; cartes d’accès sécurisées ; etc.)

Systèmes CCTV (Vidéosurveillance)

Systèmes d’alarme de sécurité

3.3. Le sous-traitant a-t-il pris les mesures techniques et organisationnelles appropriées, conformes à l'état de l'art permettant de contrôler l'accès aux installations où les données à caractère personnelles sont traitées, notamment pour vérifier l'autorisation ?

Oui

Non

3.4. Sélectionnez les mesures prises pour contrôler l'accès aux installations où les données à caractère personnelles sont traitées, notamment pour vérifier l'autorisation

Portes fermées à toutes les entrées (par exemple, fermetures électroniques ; fermetures physiques ; etc.)

Systèmes de contrôle d’accès (par exemple : cartes d’accès sécurisées ; digicode ; cahier d'enregistrement des intervenants ; etc.)

Systèmes CCTV (Vidéosurveillance)

Présence systématique d'un membre de la direction informatique lors d'une intervention dans les locaux informatiques

4. Contrôle d'accès logique aux systèmes informatique

4.1. Le sous-traitant a-t-il pris les mesures techniques et organisationnelles d'identification et d'authentification de l'utilisateur pour limiter l'accès aux systèmes informatiques aux seules personnes concernées par l'exploitation des données personnelles pour la prestation confiée ?

Exemples : procédures de mot de passe (y compris les caractères spéciaux, la longueur minimale, le changement régulier de mot de passe), blocage automatique (par ex. mot de passe ou arrêt), création d'un dossier maître par utilisateur, cryptage des supports de données

Oui

Non

4.2. Sélectionnez les mesures d'identification et d'authentification

Systèmes de sécurité informatique exigeant que les utilisateurs individuels se connectent avec un nom d’utilisateur unique

Systèmes de sécurité informatique exigeant l’utilisation de mots de passe contraignants (Par exemple : minimum 8 caractères avec utilisation de 3 des 4 types de caractères)

Systèmes de sécurité informatique exigeant l’utilisation de l’authentification multifactorielle

Changement de mot de passe obligatoire à intervalle fixe (par exemple, tous les six (6) mois)

Verrouillage automatique des terminaux et appareils informatiques après une période de non-utilisation, avec un mot de passe requis pour « rallumer » le terminal ou l’appareil

Puissant chiffrement/hachage des bases de données de mots de passe (Par exemple : Utilisation de Keepass sur tous les postes)

Utilisation de mots de passe très contraignants pour les comptes à privilège (Par exemple : Minimum de 12 caractères avec utilisation de 3 des 4 types de caractères)

Mise en place de profils utilisateurs avec principe du moindre privilège gérés dans l'Active Directory

Gestion des droits et des profils dans les logiciels externes

5. Hébergement et stockage des données personnelles

5.1. Où sont hébergées les données confiées par le responsable de traitement ?

Sur des serveurs internes

Chez un hébergeur

5.2. Identifiez le(s) hébergeur(s) chez qui les données confiées par le responsable de traitement sont stockées

5.3. Le(s) hébergeur(s) sont-ils certifié(s) ISO 27001 ?

Oui

Non

5.4. Le sous-traitant est il certifié ISO 27001 ?

Oui

Non

En cours

5.5. Le sous-traitant a-t-il défini et mis en place une politique interne de conservation des données conforme aux exigences du RGPD ?

Oui

Non

5.6. Le sous-traitant procède-t-il à la suppression ou à la restitution des données à caractère personnel conformément aux instructions documentées reçues du Client ?

Oui

Non

5.7. Sauf autorisation expresse prévue au contrat, les données confiées pour traitement par le Client au sous-traitant sont-elles hébergées et exploitées au sein de l'UE/EEE ou dans un pays adéquat ?

Oui

Non

5.8. Comment sont encadrés les transferts de données hors UE/EEE ou vers un pays non adéquat ?

Des clauses contractuelles type (CCT)

Des règles d'entreprise contraignantes (BCR)

Aucun encadrement

5.9. Quelles sont les mesures de protection des infrastructures informatiques ?

Équipements réseaux redondés

Pare-feu redondés

SOC externalisé

6. Sécurité des données

6.1. Le sous-traitant a-t-il mis en place une procédure de gestion des incidents de sécurité ?

Oui

Non

6.2. Le sous-traitant prend-il des mesures pour empêcher la perte, l'altération ou la divulgation non autorisée lors du transfert électronique, du transport de données, du contrôle de transmission, de communication ou de stockage des données sur les supports de données (manuels ou électroniques), etc, et ainsi maîtriser les risques de divulgation non autorisés ?

Exemples : Chiffrement /canalisation (VPN=Virtual Private Network), Signature électronique, Connexion, Sécurité du transport

Oui

Non

6.3. Décrire les mesures en place

Mise en place de systèmes d’évaluation des vulnérabilités, de technologies de protection contre les menaces, de gestion des mises à jour, et de procédures de surveillance conçues pour identifier, évaluer, atténuer et protéger contre les menaces identifiées sur la sécurité, les virus et autres codes malveillants

Chiffrement des flux (SSL/TLS)

Chiffrement des postes de travail (Par exemple avec Bitlocker)

Chiffrement des supports amovibles (Par exemple avec Bitlocker)

Chiffrement possible des contenus mails (Par exemple avec 7-Zip)

Limitation des échanges par messagerie au profit d'espaces sécurisés (Par exemple OODrive, Sharepoint )

Réseau de données sécurisé (Par exemple VPN)

6.4. Le sous-traitant fait-il une évaluation régulière des mesures techniques et organisationnelles destinées à contrôler l'accès aux données à caractère personnelles (par exemple test de pénétration) ?

Oui

Non

6.5. Le sous-traitant a-t-il un plan de continuité d'activité (PCA) avec réplication des données sur un site de secours ?

Oui

Non

6.6. Le sous-traitant a-t-il mis en place un plan de sauvegarde ?

Oui

Non

7. Conformité de mise en oeuvre des activités de traitement

7.1. Le sous-traitant a-t-il mis en place des mesures de vérification ultérieure de la saisie, de la modification ou de la suppression des données, et de la personne y ayant procédé (journalisation des accès et des reporting) ?

Oui

Non

7.2. Le sous-traitant informe-t-il régulièrement son Client de la bonne exécution du Contrat pour les prestations qui lui sont confiées (conformité aux instructions documentées) ?

Oui

Non

7.3. Le sous-traitant respecte-t-il les principes d'isolation des traitements pour des finalités différentes et a mis en place les dispositions appropriées ?

Exemple : bacs à sable pour les activités de développement, séparation des activités dans l'organisation des droits, ...

Oui

Non

8. Sous-traitance ultérieure

8.1. Le recours à la sous-traitance ultérieure fait-elle partie du contrat avec le sous-traitant ?

Oui

Non

8.2. Le contrat prévoit-il que le responsable de traitement valide le choix des sous-traitants ultérieurs ?

Oui

Non

8.3. Les relations avec les sous-traitants ultérieurs font-elles l'objet d'un contrat avec le sous-traitant ?

Oui

Non

En cours

8.4. Ces contrats prennent-ils en compte les exigences RGPD ?

Oui

Non

8.5. Les transferts éventuels de données hors UE par les sous-traitants ultérieurs sont-ils encadrés par des clauses-type ou autres dispositions prévues par l'autorité de contrôle ?

Oui

Non

8.6. Le sous-traitant s'est-il assuré que les sous-traitants ultérieurs ont pris les mesures organisationnelles et techniques permettant d'assurer des garanties suffisantes pour la protection des données à caractère personnel ?

Oui

Non

Créé le:2021-04-20T14:19:28.4616109

Mis à jour le :2024-01-13T14:59:34.7484635