Le risque de sous-traitance sous l'angle RGPD

Qui est encore étonné de lire dans la presse qu’une entreprise, un hôpital ou encore une mairie est victime d’une attaque informatique, bloquant tout ou partie de son activité ?

Qui n’a pas encore pris connaissance d’une décision de la Commission Nationale de l’Informatique et Libertés (CNIL) sanctionnant un organisme, notamment pour un défaut de sécurité des données personnelles?

Aujourd’hui, il ne se passe pas un jour sans qu’un journal ne relaye ce genre d’information. Mais saviez-vous que certaines de ces situations sont la conséquence directe d’une défaillance d’un sous-traitant?

En effet, à y regarder de plus près, les pirates informatiques ne s’attaqueraient pas directement à leur cible finale, mais préfèreraient passer par leurs sous-traitants. C’est le cas pour Airbus dont la manœuvre est relayée par le journal Les Echos, «passant par des sous-traitants, les attaquants auraient tenté à plusieurs reprises de pénétrer les infrastructures informatiques du constructeur afin de lui dérober des données stratégiques».

Dans certains cas, la CNIL a également confirmé que l’origine de la fuite de données n’est pas directement imputable à l’organisme mais bien à son sous-traitant. C’est pourquoi, consciente des risques qui pèsent sur le recours à la sous-traitance, l’ANSSI (l’Agence nationale de la Sécurité des Systèmes informatiques) établit actuellement une liste blanche des prestataires d’administration et de maintenance «fournissant une qualité de service à la hauteur des enjeux de sécurité actuels».

On constate en parallèle, que de plus en plus d’organismes font le choix d’externaliser une partie de leurs activités (informatique, ressources humaines, logistique, etc.)pour diverses raisons: réduction des coûts, manque de savoir-faire, etc. Mais sans s’en rendre compte, ces organismes augmentent considérablement le risque d‘être victime d’une attaque informatique ou de subir une atteinte à la confidentialité des données.

La plupart des organismes estiment que la mise en place de mesures techniques et organisationnelles suffit pour assurer la sécurité de leur système d’information et ont donc le sentiment d’être à l’abri. Mais il ne se préoccupent pas toujours d’aller vérifier ce qu’il en est chez leurs sous-traitants. Ainsi, ils s’aperçoivent souvent trop tard que leurs prestataires délèguent eux-mêmes une partie des opérations de maintenance à un second prestataire situé par exemple en Asie, et dont l’approche en matière de sécurité est totalement différente.

Depuis l’entrée en application du Règlement Général sur la Protection des Données (RGPD), le choix du sous-traitant a pris toute son importance. Car la défaillance du sous-traitant va bien au-delà de la simple perte des données ou du paiement d’une rançon car les organismes ciblés encourent aussi des sanctions financières lourdes (jusqu’à 4% du chiffre d’affaires), un risque réputationnel et donc d’atteinte à leur image aux fortes conséquences (perte de confiance des clients, baisse du chiffre d’affaires, etc.).

Dans ce contexte, la bataille entre les organismes donneurs d’ordres, c’est-à-dire les responsables de traitement et leurs sous-traitants fait rage! En effet, les organismes victimes d’attaques tendent à reporter la faute sur leurs prestataires (à tort ou à raison), chez qui les traitements de données personnelles sont externalisés. Il n’est pas rare de lire dans les communications officielles, que la cyberattaque ou la fuite de données résulte d’une défaillance du sous-traitant, qui n’aurait pas mis en place les «bonnes» mesures techniques et organisationnelles de sécurité. Cette recherche de responsabilité est loin d’être anodine, car désormais le sous-traitant est responsable en cas de manquement, notamment en matière de sécurité des données personnelles.

Toutefois, la responsabilisation des sous-traitants n’amoindrit pas les obligations du responsable de traitement (organisme donneur d’ordre), qui demeure le seul responsable quant au choix de son sous-traitant. L’article 28 du RGPD dispose en effet, que le responsable de traitement doit faire «uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée».

En application du principe d’Accountability et de l’article 24 du RGPD, le responsable de traitement doit être en mesure de démontrer que son traitement remplit les exigences du RGPD. Cela implique pour le responsable de traitement d’apporter la preuve, que le choix du sous-traitant a été fait sur la base de «garanties suffisantes», pour que le traitement réponde aux exigences du règlement et garantisse la protection des droits des personne concernées.