Comment s’assurer qu’un sous-traitant présente des «garanties suffisantes » ?

Le responsable de traitement et le sous- traitant ont l’obligation de mettre en place les mesures techniques et organisationnelles de sécurité qui sont adaptées aux risques engendrés par le traitement, selon l’article 32 du RGPD. Néanmoins, l’obligation générale visant à s’assurer et à démontrer que le traitement est effectué conformément au règlement pèse uniquement sur le responsable de traitement.

Autrement-dit, le responsable de traitement et le sous-traitant ont tous les deux l’obligation d’assurer la sécurité des données, mais la preuve visant à démontrer que les mesures techniques et organisationnelles de sécurité mises en place sont adaptées au risque, doit être apportée par le responsable de traitement.

C’est d’ailleurs pourquoi il est fortement conseillé au responsable de traitement de toujours procéder à une analyse de risque sur la sécurité des données (confidentialité, intégrité et disponibilité), quel que soit le traitement de données personnelles envisagé. En effet, ce procédé lui permet d’une part d’identifier les mesures techniques et organisationnelles de sécurité à mettre en place et d’autre part d'évaluer l'intégrité des tiers.

Enfin, lorsque le traitement implique le recours à la sous-traitance, le résultat de cette analyse peut être utilisé pour sélectionner uniquement les sous-traitants qui sont en mesures d’assurer la sécurité des données. C’est-à-dire ceux disposant des moyens nécessaires pour mettre en place et respecter les mesures de sécurité adaptées au risque.

Ainsi le choix du sous-traitant devrait être conditionné à la réalisation des étapes suivantes :

La réalisation d’une étude de risque sur la sécurité des données pouvant avoir des impacts sur la vie privée

Cela passe par l’anticipation de scénarios susceptibles de se réaliser. Par exemple, un salarié non habilité, peut-il accéder aux fichiers des Ressources Humaines, extraire les données personnelles de ses collègues, et les diffuser par la suite sur le Dark web, compromettant ainsi la confidentialité des données ? Si la réponse est oui, cela signifie qu’il est nécessaire de mettre en place des mesures de sécurité pour réduire ce risque.

L’identification des mesures techniques et organisationnelles de sécurités les plus adaptées aux risques identifiés

En se basant sur l’exemple ci-dessus, le responsable de traitement peut décider de mettre en place différentes mesures de sécurité, telles que : la traçabilité sur les actions, l’authentification forte, ou encore par la mise en place d’une gestion des habilitations. Avec ces mesures, le responsable de traitement peut considérablement réduire le risque qu’un salarié non habilité puisse accéder à des données personnelles, les extraire, puis les diffuser. Une fois ce travail réalisé, le responsable de traitement dispose d’une liste exhaustive des mesures techniques et organisationnelles de sécurité.

La vérification que le sous-traitant est en mesure de mettre en place les mesures techniques et organisationnelles de sécurité

Afin de s’assurer que le ou les sous-traitants sélectionnés appliquent déjà ou sont en mesure d’implémenter les mesures de sécurité identifiées, le responsable de traitement peut leur adresser un document sous forme de questionnaire reprenant l’ensembles desdites mesures. Par ailleurs, le responsable de traitement peut s’appuyer sur l’ensemble de ces exigences pour conditionner le recours à un sous-traitant de second rang.

Un autre aspect à prendre en compte est celui de la chaine de sous-traitance. Il est souvent constaté dans les modèles de contrats fournis par les sous-traitants qu’ils se réservent la possibilité de faire eux-mêmes appel à un sous- traitant de second rang afin de déléguer une partie des opérations de traitement. Si bien souvent le contrat contient l’obligation pour le sous-traitant d’en informer au préalable le responsable de traitement pour lui permettre d’émettre des objections, dans les faits ce dernier en a rarement connaissance.

Selon l’article 28 du RGPD, le contrat entre le sous-traitant de premier rang et de second rang doit contenir les mêmes obligations que celles prévues au contrat entre le responsable de traitement et le sous-traitant, notamment concernant la sécurité des données. Et c’est au sous-traitant de premier rang de s’assurer que le sous-traitant de second rang respecte bien ses obligations en matière de protection des données et si celui-ci « ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous- traitant de ses obligations ».

Sur le plan juridique, ces dispositions du RGPD protègent le responsable de traitement mais dans les faits, si une violation de données venait à se produire du fait de la défaillance du second sous-traitant, celle-ci pourrait être rendue publique et engendrer de lourdes conséquences pour le responsable de traitement. Apprenant dans la presse que leurs données personnelles sont accessibles ou vente sur le dark web, les personnes concernées se tourneraient immédiatement vers le responsable de traitement et/ou perdraient confiance en lui (impacts sur son image). Cela pourrait également engendrer une sanction de la CNIL, si jamais la notification de violation de données ne lui avait pas été remontée dans les temps. Il est donc fortement recommandé que le responsable de traitement prenne en compte la chaine de sous-traitance au moment de sélectionner un sous-traitant et de bien l’encadrer contractuellement.

A retenir : plus le traitement est considéré comme sensible ou à risque, plus les obligations du responsable de traitement sont renforcées concernant le choix d’un sous- traitant et le suivi du respect de ses obligations (audits réguliers).


More from RGPD Sous Traitance