Intitulée « Guide pour la protection des données personnelles externalisées », elle a décroché le prix de la meilleure thèse professionnelle de la promotion 2014/16 du Mastère Spécialisé Management et Protection des données à caractère personnel.
La mondialisation des échanges ainsi que le souci des entreprises de se spécialiser sur leur cœur de métier compliquent les flux et en particulier les flux de données personnelles de plus en plus souvent confiées à des sous-traitants ou stockées dans le cloud au travers des applications en SaaS. Le législateur, conscient que le partage d’expertise et le rapport d’influence n’est pas toujours en faveur du responsable de traitement, prévoit un partage des responsabilités entre celui-ci et ses sous-traitants, voire une responsabilité conjointe. Le niveau des sanctions atteindra la somme la plus forte entre 4 % du CA mondial ou 20 millions d’Euros. Tous les acteurs pourront être sanctionnés administrativement et pénalement s’ils ne remplissent pas leurs obligations. De quoi inciter les entreprises à respecter les données personnelles et à s’inquiéter des traitements effectués par leurs soustraitants.
C’est en partant de cette analyse, que Christine Hennion, dans sa thèse ISEP, « Guide pour la protection des données personnelles externalisées », examine tout d’abord comment, à partir du partage de ces responsabilités, les acteurs seront qualifiés de responsable de traitement, de responsable conjoint ou de sous-traitant. Le règlement met également en avant le principe d’ « accountability ». Ce sont les procédures mises en place et leur pratique quotidienne, le « qui fait quoi », qui détermineront le champ réel des responsabilités. La fonction achat, dont le rôle est de gérer l’entreprise « étendue » au travers de ses sous-traitants et fournisseurs, devra intégrer les exigences du règlement.
Forte de son expérience de plus de vingt ans en achats de technologies, son objectif est de guider les professionnels en charge de la relation fournisseurs, en établissant la liste des points d’attention et les modifications à apporter aux contrats et aux processus, afin de prendre en compte la protection des données personnelles externalisées, en particulier dans le cloud. Le fil conducteur sera le processus d’achat, à commencer par la sélection des fournisseurs, poursuivi de la gestion de la relation et de la fin de contrat.