LES ECHOS consacre un article relatif aux nouvelles obligations de sécurité et contractuelles qu’impose le RGDP aux responsables du traitement amenées à traiter avec des fournisseurs de services cloud et des fournisseurs de technologie de protection des données (sous-traitants).
- Les fournisseurs de services cloud doivent apporter des garanties suffisantes pour que le service soit conforme aux exigences techniques et organisationnelles du nouveau règlement;
- Les contrats de service entre le responsable du traitement et le sous-traitant interdisent le recours à d’autres sous-traitants sans le consentement préalable du responsable du traitement;
- À l’expiration du contrat de service, toutes les données doivent être supprimées du cloud et le sous-traitant doit apporter les preuves suffisantes que c’est bien le cas;
- Les responsables du traitement ont l’obligation de rendre compte de tout incident de fuite de données à l’autorité réglementaire.
Les fonctionnalités du service doivent donc permettre de controler :
- le lieu de stockage : où les données sont stockées, sur site ou dans un datacenter spécifique basé en Europe;
- le chiffrement des données au repos, en transit et dans le cloud;
- la recherche de données dans les sauvegardes;
- la modification des données personnelles;
- l’exportation des données dans un format courant facile à utiliser;
- la restauration rapide des données en cas d’incident (incendie, attaque informatique,
- la protection contre les attaques de ransomware pour éviter les fuites de données avec une solution intégrant une protection qui détecte et bloque les attaques de ransomware et restaure instantanément les données affectées;
- la certification des données comme par exemple via la blockchain qui permet de produire une preuve inaltérable de l’intégrité des données.