Voici un grief fréquemment retenu, en matière de protection des données : l’absence ou l’insuffisance des tests, aussi bien quant à la conformité que pour vérifier les mesures de sécurité. Et ces contrôles doivent être reconduits périodiquement, pour éviter la sanction, comme l’ont récemment rappelé les autorités de protection des données polonaise (UODO, 2 novembre 2022, Municipality of Dobrzyniewo Duże, n° DKN.5131.8.2022) et danoise (Datatilsynet, 13 juin 2022, Dankse Bank, n° INC000003185717).
La « CNIL britannique » est allée plus loin encore, dans sa décision Interserve Group Limited du 24 octobre 2022, en sanctionnant l’absence de réalisation de « pentest », abréviation désignant les « tests de pénétration » aussi bien virtuels que physiques (et non pas « test de crayon », comme le traduisent certaines IA).
Pourquoi inclure les purs éditeurs de logiciel, qui n’entrent pas nécessairement dans le scope du RGPD? Tout bonnement parce que leur contrat risque d’être annulé, s’ils ne fournissent pas une solution « Security by Design » (Guidelines 4/2019 on Article 25 Data Protection by Design and by Default).
Naturellement, le test ne doit pas être envisagé de façon isolée. Il faut définissant notamment son champ d’application, sa fréquence de réitération et les modalités de conservation de ses résultats.