Sécurité des données : Comment choisir un sous-traitant ?

Qui est encore étonné de lire dans la presse qu’une entreprise, un hôpital ou encore une mairie est victime d’une attaque informatique, bloquant tout ou une partie de son activité ? Qui n’a pas encore pris connaissance d’une décision de la Commission Nationale de l’Informatique et Libertés (CNIL) sanctionnant un organisme, notamment pour un défaut de sécurité des données personnelles ? Aujourd’hui, il ne se passe pas un jour sans qu’un journal ne relaye ce genre d’information. Mais saviez-vous que certaines de ces situations sont la conséquence directe d’une défaillance d’un sous-traitant ?

En effet, à y regarder de plus près, les pirates informatiques ne s’attaqueraient pas directement à leur cible finale, mais préfèreraient passer par leurs sous-traitants. C’est le cas pour Airbus dont la manœuvre est relayée par le journal Les Echos, « passant par des sous-traitants, les attaquants auraient tenté à plusieurs reprises de pénétrer les infrastructures informatiques du constructeur afin de lui dérober des données stratégiques ». Dans certains cas, la CNIL a également confirmé que l’origine de la fuite de données n’est pas directement imputable à l’organisme mais bien à son sous-traitant. C’est pourquoi, conscient des risques qui pèsent sur le recours à la sous-traitance, l’ANSSI (l’Agence nationale de la Sécurité des Systèmes informatiques) établit actuellement une liste blanche des prestataires d’administration et de maintenance « fournissant une qualité de service à la hauteur des enjeux de sécurité actuels ».

On constate en parallèle, que de plus en plus d’organismes font le choix d’externaliser une partie de leurs activités (informatique, ressources humaines, logistique, etc.) pour diverses raisons : réduction des coûts, manque de savoir-faire, etc. Mais sans s’en rendre compte, ces organismes augmentent considérablement le risque d‘être victime d’une attaque informatique ou de subir une atteinte à la confidentialité des données.

La plupart des organismes estiment que la mise en place de mesures techniques et organisationnelles suffit pour assurer la sécurité de leur système d’information et ont donc le sentiment d’être à l’abri. Mais il ne se préoccupent pas toujours d’aller vérifier ce qu’il en est chez leurs sous-traitants. Ainsi, ils s’aperçoivent souvent trop tard que leurs prestataires délèguent eux-mêmes une partie des opérations de maintenance à un second prestataire situé par exemple en Asie, et dont l’approche en matière de sécurité est totalement différente.

Pourquoi la sécurité de vos partenaires vous concerne

Depuis l’entrée en application du Règlement Général sur la Protection des Données (RGPD), le choix du sous-traitant a pris toute son importance. Car la défaillance du sous-traitant va bien au-delà de la simple perte des données ou du paiement d’une rançon car les organismes ciblés encourent aussi des sanctions financières lourdes (jusqu’à 4% du chiffre d’affaires), un risque réputationnel et donc d’atteinte à leur image aux fortes conséquences (perte de confiance des clients, baisse du chiffre d’affaire, etc.).

Dans ce contexte, la bataille entre les organismes donneurs d’ordres, c’est-à-dire les responsables de traitement et leurs sous-traitants fait rage ! En effet, les organismes victimes d’attaques  tendent à reporter la faute sur leurs prestataires (à tort ou à raison), chez qui les traitements de données personnelles sont externalisés. Il n’est pas rare de lire dans les communications officielles, que la cyberattaque ou la fuite de données résulte d’une défaillance du sous-traitant, qui n’aurait pas mis en place les « bonnes » mesures techniques et organisationnelles de sécurité. Cette recherche de responsabilité est loin d’être anodine, car désormais le sous-traitant est responsable en cas de manquement, notamment en matière de sécurité des données personnelles.

Toutefois, la responsabilisation des sous-traitants n’amoindrit pas les obligations du responsable de traitement (organisme donneur d’ordre), qui demeure le seul responsable quant au choix de son sous-traitant. L’article 28 du RGPD dispose en effet, que le responsable de traitement doit faire « uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

En application du principe d’Accountability et de l’article 24 du RGPD, le responsable de traitement doit être en mesure de démontrer que son traitement remplit les exigences du RGPD. Cela implique pour le responsable de traitement d’apporter la preuve, que le choix du sous-traitant a été fait sur la base de « garanties suffisantes » qu’il présente, pour que le traitement réponde aux exigences du règlement et garantisse la protection des droits des personne concernées.

Etant conscient qu’il n’est pas aisé d’identifier par quels moyens le responsable de traitement peut s’assurer qu’un sous-traitant présente des « garanties suffisantes », Witik propose de vous donner quelques éléments de réponse dans cet article.

L’évolution des critères quant au choix du sous-traitant

L’article 17 alinéa 2 de la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, prévoyait une obligation pour le responsable de traitement de « devoir » choisir un sous-traitant sur la base des garanties qu’il présente en matière de sécurité. Cet article a été transposé à l’article 35 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui dispose que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34 ». La sécurité des données personnelles était donc le seul critère déterminant à prendre en compte par le responsable de traitement pour effectuer le choix de son sous-traitant. A cet égard, seul le responsable de traitement était responsable en cas de manquement à l’obligation de sécurité, même si ce manquement résultait de son sous-traitant.

Le Règlement Général sur la Protection des Données, est venu préciser et renforcer les obligations du responsable de traitement, dès lors qu’il souhaite faire appel à un sous-traitant. L’article 28 alinéa 1 du RGPD dispose que le responsable de traitement « *fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». Le législateur européen a considérablement élargi les critères à prendre en compte dans le choix d’un sous-traitant, puisque l’article 28 ne mentionne plus uniquement l’obligation de sécurité, mais l’ensemble des mesures techniques et organisationnelles visant à respecter les exigences du RGPD.

L’emploi de l’adverbe « uniquement » ne laisse plus aucune interprétation possible sur la marge de manœuvre laissée au responsable de traitement, il a l’obligation d’apprécier les garanties suffisantes offertes par un sous-traitant sur la base des exigences prévues dans le RGPD. Etant donné que le responsable doit mettre « en place des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement », il devra nécessairement documenter les mesures prises pour apprécier lesdites garanties suffisantes offertes par le sous-traitant, afin de conserver des preuves et être en mesure de démontrer le respect des exigences du règlement (principe d’Accountability). Le corolaire de cette obligation concerne les sous-traitants, puisque ces derniers devront être en mesure de démontrer qu’ils présentent des garanties suffisantes, au risque dans le cas contraire de ne pas être sélectionnés par des clients potentiels.

Vérifier la maturité des sous-traitants en matière de protection des données personnelles

Le responsable de traitement doit faire une sélection sur le marché des seuls sous-traitants présentant « des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées » et ainsi répondre aux exigences du RGPD. Si de prime abord, le législateur européen ne précise pas ce qu’il entend par des « garanties suffisantes », il est néanmoins possible d’en préciser les contours via les considérants et les articles du RGPD.

Le considérant 81 du RGPD prévoit que « le responsable du traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement ».

En pratique, l’expertise d’un sous-traitant peut s’apprécier de différentes manières, telles que l’application par le sous-traitant d’un code de bonne conduite, la vérification de la conformité de son site internet, la démonstration que le produit et/ou service prend en compte le privacy by design et le privacy by default ou encore via la documentation sur les mesures de sécurité. Pour ce qui est de la fiabilité, il peut être recommandé de prendre en compte, la renommée sur le marché du sous-traitant, la date de création de l’entreprise, sa présence à l’international ou ses certifications (ISO27001, ISO27701, etc.). Enfin, concernant les ressources, la présence d’un DPO chez le sous-traitant ou la formation/sensibilisation du personnel à la protection des données sont des facteurs à prendre en compte et facilement vérifiables. Néanmoins, si aucun des points ci-dessus ne permet à lui seul d’apprécier « les garanties suffisantes », cela constitue néanmoins un faisceau d’indices qui peut être utilisé pour faire une présélection des sous-traitants.

D’un point de vue opérationnel, le responsable de traitement devrait établir un questionnaire contenant toutes les informations qu’il juge utiles pour s’assurer que le sous-traitant présente des garanties suffisantes et intégrer l’usage de ce questionnaire dans un process interne relatif au choix d’un nouveau prestataire.

• Avez-vous désigné un Délégué à la Protection des Données ?

• Avez-vous établi un registre des activités de traitement Responsable de traitement et Sous-traitant ?

• Avez-vous une Politique de Sécurité ?

• Avez-vous mis en place une procédure de gestion de crise, notamment en cas de violation de données ?

• Votre personnel est-il formé/sensibilisé à la protection des données ?

• Proposez-vous un Plan d’Assurance Sécurité ?

En analysant les réponses obtenues, le responsable de traitement est désormais en mesure de faire une présélection des sous-traitants, pour ne retenir que ceux démontrant un bon niveau de maturité en matière de protection des données. Mais un second tri devra être réalisé par le responsable de traitement, à partir d’autres points de contrôle.

N'hésitez pas à télécharger notre livre blanc si vous souhaitez avoir plus d'informations sur le sujet !