R

RGPD Sous Traitance

Comment s’assurer qu’un sous-traitant présente des «garanties suffisantes » ?

Le responsable de traitement et le sous- traitant ont l’obligation de mettre en place les mesures techniques et organisationnelles de sécurité qui sont adaptées aux risques engendrés par le traitement, selon l’article 32 du RGPD. Néanmoins, l’obligation générale visant à s’assurer et à démontrer que le traitement est effectué conformément au règlement pèse uniquement sur le responsable de traitement.

Autrement-dit, le responsable de traitement et le sous-traitant ont tous les deux l’obligation d’assurer la sécurité des données, mais la preuve visant à démontrer que les mesures techniques et organisationnelles de sécurité mises en place sont adaptées au risque, doit être apportée par le responsable de traitement.

C’est d’ailleurs pourquoi il est fortement conseillé au responsable de traitement de toujours procéder à une analyse de risque sur la sécurité des données (confidentialité, intégrité et disponibilité), quel que soit le traitement de données personnelles envisagé. En effet, ce procédé lui permet d’une part d’identifier les mesures techniques et organisationnelles de sécurité à mettre en place et d’autre part d'évaluer l'intégrité des tiers.

Enfin, lorsque le traitement implique le recours à la sous-traitance, le résultat de cette analyse peut être utilisé pour sélectionner uniquement les sous-traitants qui sont en mesures d’assurer la sécurité des données. C’est-à-dire ceux disposant des moyens nécessaires pour mettre en place et respecter les mesures de sécurité adaptées au risque.

Ainsi le choix du sous-traitant devrait être conditionné à la réalisation des étapes suivantes :

La réalisation d’une étude de risque sur la sécurité des données pouvant avoir des impacts sur la vie privée

Cela passe par l’anticipation de scénarios susceptibles de se réaliser. Par exemple, un salarié non habilité, peut-il accéder aux fichiers des Ressources Humaines, extraire les données personnelles de ses collègues, et les diffuser par la suite sur le Dark web, compromettant ainsi la confidentialité des données ? Si la réponse est oui, cela signifie qu’il est nécessaire de mettre en place des mesures de sécurité pour réduire ce risque.

L’identification des mesures techniques et organisationnelles de sécurités les plus adaptées aux risques identifiés

En se basant sur l’exemple ci-dessus, le responsable de traitement peut décider de mettre en place différentes mesures de sécurité, telles que : la traçabilité sur les actions, l’authentification forte, ou encore par la mise en place d’une gestion des habilitations. Avec ces mesures, le responsable de traitement peut considérablement réduire le risque qu’un salarié non habilité puisse accéder à des données personnelles, les extraire, puis les diffuser. Une fois ce travail réalisé, le responsable de traitement dispose d’une liste exhaustive des mesures techniques et organisationnelles de sécurité.

La vérification que le sous-traitant est en mesure de mettre en place les mesures techniques et organisationnelles de sécurité

Afin de s’assurer que le ou les sous-traitants sélectionnés appliquent déjà ou sont en mesure d’implémenter les mesures de sécurité identifiées, le responsable de traitement peut leur adresser un document sous forme de questionnaire reprenant l’ensembles desdites mesures. Par ailleurs, le responsable de traitement peut s’appuyer sur l’ensemble de ces exigences pour conditionner le recours à un sous-traitant de second rang.

Un autre aspect à prendre en compte est celui de la chaine de sous-traitance. Il est souvent constaté dans les modèles de contrats fournis par les sous-traitants qu’ils se réservent la possibilité de faire eux-mêmes appel à un sous- traitant de second rang afin de déléguer une partie des opérations de traitement. Si bien souvent le contrat contient l’obligation pour le sous-traitant d’en informer au préalable le responsable de traitement pour lui permettre d’émettre des objections, dans les faits ce dernier en a rarement connaissance.

Selon l’article 28 du RGPD, le contrat entre le sous-traitant de premier rang et de second rang doit contenir les mêmes obligations que celles prévues au contrat entre le responsable de traitement et le sous-traitant, notamment concernant la sécurité des données. Et c’est au sous-traitant de premier rang de s’assurer que le sous-traitant de second rang respecte bien ses obligations en matière de protection des données et si celui-ci « ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous- traitant de ses obligations ».

Sur le plan juridique, ces dispositions du RGPD protègent le responsable de traitement mais dans les faits, si une violation de données venait à se produire du fait de la défaillance du second sous-traitant, celle-ci pourrait être rendue publique et engendrer de lourdes conséquences pour le responsable de traitement. Apprenant dans la presse que leurs données personnelles sont accessibles ou vente sur le dark web, les personnes concernées se tourneraient immédiatement vers le responsable de traitement et/ou perdraient confiance en lui (impacts sur son image). Cela pourrait également engendrer une sanction de la CNIL, si jamais la notification de violation de données ne lui avait pas été remontée dans les temps. Il est donc fortement recommandé que le responsable de traitement prenne en compte la chaine de sous-traitance au moment de sélectionner un sous-traitant et de bien l’encadrer contractuellement.

A retenir : plus le traitement est considéré comme sensible ou à risque, plus les obligations du responsable de traitement sont renforcées concernant le choix d’un sous- traitant et le suivi du respect de ses obligations (audits réguliers).

Vérifier la maturité des sous-traitants en matière de protection des données personnelles

Le responsable de traitement doit faire une sélection sur le marché des seuls sous-traitants présentant «des garanties suffisantes pour mettre en œuvre mesures techniques et organisationnelles appropriées» pour répondre aux exigences du RGPD. Si de prime abord, le législateur européen ne précise pas ce qu’il entend par des «garanties suffisantes», il est néanmoins possible d’en préciser les contours via les considérants et les articles du RGPD.

Le considérant 81 du RGPD prévoit que « le responsable du traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement ».

En pratique, l’expertise d’un sous-traitant peut s’apprécier de différentes manières, telles que l’application par le sous-traitant d’un code de bonne conduite, la vérification de la conformité de son site internet, la démonstration que le produit et/ou service prend en compte le privacy by design et le privacy by default ou encore via une la documentation sur les mesures de sécurité. Pour ce qui est de la fiabilité, il peut être recommandé de prendre en compte la renommée sur le marché du sous-traitant, la date de création de l’entreprise, sa présence à l’international ou ses certifications (ISO27001, ISO27701, etc.).

Enfin, concernant les ressources, la présence d’un DPO chez le sous-traitant ou la formation/sensibilisation du personnel à la protection des données sont des facteurs à prendre en compte et facilement vérifiables. Néanmoins, si aucun des points ci-dessus ne permet à lui seul d’apprécier « les garanties suffisantes », cela constitue néanmoins un faisceau d’indices qui peut être utilisé pour faire une présélection des sous-traitants.

D’un point de vue opérationnel, le responsable de traitement devrait établir un questionnaire contenant toutes les informations qu’il juge utiles pour s’assurer que le sous-traitant présente des garanties suffisantes et intégrer l’usage de ce questionnaire dans un process interne relatif au choix d’un nouveau prestataire.

  • Avez-vous désigné un Délégué à la Protection des Données ?
  • Avez-vous établi un registre des activités de traitement Responsable de traitement et Sous-traitant ?
  • Avez-vous une Politique de Sécurité ?
  • Avez-vous mis en place une procédure de gestion de crise, notamment en cas de violation de données ?
  • Votre personnel est-il formé/sensibilisé à la protection des données ?
  • Proposez-vous un Plan d’Assurance Sécurité ?

En analysant les réponses obtenues, le responsable de traitement est désormais en mesure de faire une présélection des sous-traitants, pour ne retenir que ceux démontrant un bon niveau de maturité en matière de protection des données.

L’évolution des critères quant au choix du sous-traitant

L’article 17 alinéa 2 de la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, prévoyait une obligation pour le responsable de traitement de «devoir» choisir un sous-traitant sur la base des garanties qu’il présente en matière de sécurité. Cet article a été transposé à l’article 35 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui dispose que «le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34». La sécurité des données personnelles était donc être le seul critère déterminant à prendre en compte par le responsable de traitement, pour effectuer le choix de son sous-traitant. A cet égard, seul le responsable de traitement était responsable en cas de manquement à l’obligation de sécurité, même si ce manquement résultait de son sous-traitant.

Le Règlement Général sur la Protection des Données, est venu préciser et renforcer les obligations du responsable de traitement, dès lors qu’il souhaite faire appel à un sous-traitant. L’article 28 alinéa 1 du RGPD dispose que le responsable de traitement «fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée».

Le législateur européen a considérablement élargi les critères à prendre en compte dans le choix d’un sous-traitant, puisque l’article 28 ne mentionne plus uniquement l’obligation de sécurité, mais l’ensemble de mesures techniques et organisationnelles visant à respecter les exigences du RGPD. L’emploi de l’adverbe «uniquement» ne laisse plus aucune interprétation possible sur la marge de manœuvre laissée au responsable de traitement, il a l’obligation d’apprécier les garanties suffisantes offertes par un sous-traitant sur la base des exigences prévues dans le RGPD.

Etant donné que le responsable doit mettre «en place des mesures techniques et organisationnelles appropriés pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement», il devra nécessairement documenter les mesures prises pour apprécier lesdites garanties suffisantes offertes par le sous-traitant, afin de conserver des preuves et être en mesure de démontrer le respect des exigences du règlement (principe d’Accountability).

Le corolaire de cette obligation concerne les sous-traitants, puisque ces derniers devront être en mesure de démontrer qu’ils présentent des garanties suffisantes, au risque dans le cas contraire de ne pas être sélectionnés par des clients potentiel.

Le risque de sous-traitance sous l'angle RGPD

Qui est encore étonné de lire dans la presse qu’une entreprise, un hôpital ou encore une mairie est victime d’une attaque informatique, bloquant tout ou partie de son activité ?

Qui n’a pas encore pris connaissance d’une décision de la Commission Nationale de l’Informatique et Libertés (CNIL) sanctionnant un organisme, notamment pour un défaut de sécurité des données personnelles?

Aujourd’hui, il ne se passe pas un jour sans qu’un journal ne relaye ce genre d’information. Mais saviez-vous que certaines de ces situations sont la conséquence directe d’une défaillance d’un sous-traitant?

En effet, à y regarder de plus près, les pirates informatiques ne s’attaqueraient pas directement à leur cible finale, mais préfèreraient passer par leurs sous-traitants. C’est le cas pour Airbus dont la manœuvre est relayée par le journal Les Echos, «passant par des sous-traitants, les attaquants auraient tenté à plusieurs reprises de pénétrer les infrastructures informatiques du constructeur afin de lui dérober des données stratégiques».

Dans certains cas, la CNIL a également confirmé que l’origine de la fuite de données n’est pas directement imputable à l’organisme mais bien à son sous-traitant. C’est pourquoi, consciente des risques qui pèsent sur le recours à la sous-traitance, l’ANSSI (l’Agence nationale de la Sécurité des Systèmes informatiques) établit actuellement une liste blanche des prestataires d’administration et de maintenance «fournissant une qualité de service à la hauteur des enjeux de sécurité actuels».

On constate en parallèle, que de plus en plus d’organismes font le choix d’externaliser une partie de leurs activités (informatique, ressources humaines, logistique, etc.)pour diverses raisons: réduction des coûts, manque de savoir-faire, etc. Mais sans s’en rendre compte, ces organismes augmentent considérablement le risque d‘être victime d’une attaque informatique ou de subir une atteinte à la confidentialité des données.

La plupart des organismes estiment que la mise en place de mesures techniques et organisationnelles suffit pour assurer la sécurité de leur système d’information et ont donc le sentiment d’être à l’abri. Mais il ne se préoccupent pas toujours d’aller vérifier ce qu’il en est chez leurs sous-traitants. Ainsi, ils s’aperçoivent souvent trop tard que leurs prestataires délèguent eux-mêmes une partie des opérations de maintenance à un second prestataire situé par exemple en Asie, et dont l’approche en matière de sécurité est totalement différente.

Depuis l’entrée en application du Règlement Général sur la Protection des Données (RGPD), le choix du sous-traitant a pris toute son importance. Car la défaillance du sous-traitant va bien au-delà de la simple perte des données ou du paiement d’une rançon car les organismes ciblés encourent aussi des sanctions financières lourdes (jusqu’à 4% du chiffre d’affaires), un risque réputationnel et donc d’atteinte à leur image aux fortes conséquences (perte de confiance des clients, baisse du chiffre d’affaires, etc.).

Dans ce contexte, la bataille entre les organismes donneurs d’ordres, c’est-à-dire les responsables de traitement et leurs sous-traitants fait rage! En effet, les organismes victimes d’attaques tendent à reporter la faute sur leurs prestataires (à tort ou à raison), chez qui les traitements de données personnelles sont externalisés. Il n’est pas rare de lire dans les communications officielles, que la cyberattaque ou la fuite de données résulte d’une défaillance du sous-traitant, qui n’aurait pas mis en place les «bonnes» mesures techniques et organisationnelles de sécurité. Cette recherche de responsabilité est loin d’être anodine, car désormais le sous-traitant est responsable en cas de manquement, notamment en matière de sécurité des données personnelles.

Toutefois, la responsabilisation des sous-traitants n’amoindrit pas les obligations du responsable de traitement (organisme donneur d’ordre), qui demeure le seul responsable quant au choix de son sous-traitant. L’article 28 du RGPD dispose en effet, que le responsable de traitement doit faire «uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée».

En application du principe d’Accountability et de l’article 24 du RGPD, le responsable de traitement doit être en mesure de démontrer que son traitement remplit les exigences du RGPD. Cela implique pour le responsable de traitement d’apporter la preuve, que le choix du sous-traitant a été fait sur la base de «garanties suffisantes», pour que le traitement réponde aux exigences du règlement et garantisse la protection des droits des personne concernées.