laptop-3196481_1920

Partager l'article

Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

Le saviez-vous ? Vos sous-traitants sont une énorme source de risques pour votre entreprise ! (Partie 2)

Aujourd’hui, Witik communique la suite des éléments à prendre en compte permettant à un responsable de traitement de s’assurer qu’un sous-traitant présente des « garanties suffisantes ».

Sélectionner un sous-traitant capable d’assurer la sécurité des données

Le responsable de traitement et le sous-traitant ont l’obligation de mettre en place les mesures techniques et organisationnelles de sécurité qui sont adaptées aux risques, engendrés par le traitement, selon l’article 32 du RGPD. 

 

Néanmoins, l’obligation générale visant à s’assurer et à démontrer que le traitement est effectué conformément au règlement pèse uniquement sur le responsable de traitement. Autrement-dit, le responsable de traitement et le sous-traitant ont tous les deux l’obligation d’assurer la sécurité des données, mais la preuve visant à démontrer que les mesures techniques et organisationnelles de sécurité mises en place sont adaptées au risque, doit être apportée par le responsable de traitement. C’est d’ailleurs pourquoi il est fortement conseillé au responsable de traitement de toujours procéder à une analyse de risque sur la sécurité des données (confidentialité, intégrité et disponibilité), quel que soit le traitement de données personnelle envisagé. En effet, ce procédé lui permet d’une part d’identifier les mesures techniques et organisationnelles de sécurité à mettre en place et d’autre part de documenter la conformité de son traitement. Enfin, lorsque le traitement implique le recours à la sous-traitance, le résultat de cette analyse peut être utilisé pour sélectionner uniquement les sous-traitants qui sont en mesures d’assurer la sécurité des données. C’est-à-dire ceux disposant des moyens nécessaires pour mettre en place et respecter les mesures de sécurité adaptées au risque.

 

Ainsi le choix du sous-traitant devrait être conditionné à la réalisation des étapes suivantes :

La réalisation d’une étude de risque sur la sécurité des données pouvant avoir des impacts sur la vie privée

Cela passe par l’anticipation de scénarios susceptibles de se réaliser. Par exemple, un salarié non habilité peut-il accéder aux fichiers des Ressources Humaines, en extraire les données personnelles de ses collègues et les diffuser par la suite sur le Dark web compromettant ainsi la confidentialité des données ? Si la réponse est oui, cela signifie qu’il est nécessaire de mettre en place des mesures de sécurité pour réduire ce risque.

L’identification des mesures techniques et organisationnelles de sécurité les plus adaptées aux risques identifiés

En se basant sur l’exemple ci-dessus, le responsable de traitement peut décider de mettre en place différentes mesures de sécurité telles que : la traçabilité sur les actions, l’authentification forte, ou encore la mise en place d’une gestion des habilitations. Avec ces mesures, le responsable de traitement peut considérablement réduire le risque qu’un salarié non habilité puisse accéder à des données personnelles, les extraire, puis les diffuser.  Une fois ce travail réalisé, le responsable de traitement dispose d’une liste exhaustive des mesures techniques et organisationnelles de sécurité.

La vérification que le sous-traitant est en mesure de mettre en place les mesures techniques et organisationnelles de sécurité

Afin de s’assurer que le ou les sous-traitants sélectionnés appliquent déjà ou sont en mesure d’implémenter les mesures de sécurité identifiées, le responsable de traitement peut leurs adresser un document sous forme de questionnaire reprenant l’ensemble desdites mesures. Par ailleurs, le responsable de traitement peut s’appuyer sur l’ensemble de ces exigences pour conditionner le recours à un sous-traitant de second rang.  

Vérifier la chaîne de sous-traitance

Un autre aspect à prendre en compte est celui de la chaine de sous-traitance. Il est souvent constaté dans les modèles de contrats fournis par les sous-traitants qu’ils se réservent la possibilité de faire eux-mêmes appel à un sous-traitant de second rang afin de lui déléguer une partie des opérations de traitement. Si bien souvent le contrat contient l’obligation pour le sous-traitant d’en informer au préalable le responsable de traitement pour lui permettre d’émettre des objections, dans les faits ce dernier en a rarement connaissance.

Selon l’article 28 du RGPD, le contrat entre le sous-traitant de premier rang et de second rang doit contenir les mêmes obligations que celles prévues au contrat entre le responsable de traitement et le sous-traitant, notamment concernant la sécurité des données. Et c’est au sous-traitant de premier rang de s’assurer que le sous-traitant de second rang respecte bien ses obligations en matière de protection des données et si celui-ci « ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations ». Sur le plan juridique, ces dispositions du RGPD protègent le responsable de traitement mais dans les faits, même si une violation de données venait à se produire du fait de la défaillance du second sous-traitant, celle-ci pourrait être rendue publique et engendrer de lourdes conséquences pour le responsable de traitement. Apprenant dans la presse que leurs données personnelles sont accessibles ou vente sur le dark web, les personnes concernées se tourneraient immédiatement vers le responsable de traitement et/ou perdraient confiance en lui (impacts sur son image).  Cela pourrait également engendrer un contrôle de la CNIL, si jamais la notification de violation de données ne lui avait pas été notifiée dans les temps. Il est donc fortement recommandé que le responsable de traitement prenne en compte la chaine de sous-traitance au moment de sélectionner un sous-traitant et de bien l’encadrer contractuellement.

Pour conclure, plus le traitement est considéré comme sensible ou à risque, plus les obligations du responsable de traitement sont renforcées concernant le choix d’un sous-traitant et le suivi du respect de ses obligations (audits réguliers).

Edouard Manenc – Consultant RGPD

Voir d'autres articles

Site internet et RGPD : les 4 points de vigilance

Que vous possédiez un site e-commerce, un site institutionnel, ou encore simplement un site vitrine, vous devez protéger les données personnelles de vos utilisateurs ou visiteurs. Même si la CNIL a changé le cadre juridique concernant les Cookies & traceurs,...

RGPD : 5 bonnes pratiques quand on recrute

Droit à l’oubli, à la rectification, portabilité… Depuis l’entrée en vigueur du règlement européen, les candidats reprennent la main sur leurs données. Désormais, les recruteurs ont l’obligation de les informer de ce qu’ils font avec leurs informations personnelles. Un casse-tête...

Invalidation du Privacy Shield, what’s next ?

Saisie dans le cadre de l’affaire Schrems II, la Cour de Justice de l’Union Européenne a, dans un arrêt rendu le 16 juillet 2020, invalidé le Privacy Shield, encadrant les transferts de données personnelles entre l’Union européenne et les États-Unis....