Le contrôle de la conformité des sous-traitants est un enjeu important pour les organismes qui confient des données personnelles à des prestataires. Il s’agit de respecter la règlementation relative à la protection des données personnelles tout en préservant la qualité des relations avec ses partenaires. Les problématiques ne seront pas les mêmes selon qu’ils sont de grands acteurs des services numériques, des PME ou des start-up. Le nombre de prestataires pouvant aller d’une dizaine à plus d’une centaine selon la taille de l’organisme, la tâche peut donc s’avérer particulièrement complexe, lourde et coûteuse pour l’organisme. Il est donc nécessaire de réfléchir à la priorisation des contrôles, notamment en fonction des risques encourus.
Par Caroline Macé, Consultant protection des données personnelles et Patrice Le Méné, Responsable du Pôle Gouvernance et Cybersécurité Digitemis
Des obligations règlementaires
La règlementation relative à la protection des données a toujours imposé aux organismes de choisir des prestataires qui apportent des garanties suffisantes en matière de protection des données. On retrouve naturellement cette obligation dans le Règlement général relatif à la protection des données personnelle (RGPD) applicable depuis mai 2018. Il impose en effet aux organismes, d’une part, de choisir des sous-traitants qui présentent des garanties techniques et organisationnelles suffisantes et d’autre part, de continuer à s’assurer de leur conformité pendant toute la durée de leurs relations. Les organismes devront donc être en capacité de démontrer qu’elles respectent la réglementation en conservant, par exemple, la grille d’évaluation de ses sous-traitants et les rapports d’audit de conformité.
L’enjeu est ici de maîtriser le recours à des sous-traitants tout en garantissant la protection des données personnelles et donc la conformité réglementaire. Il incombe ainsi au responsable de traitement, de donner des instructions précises et de conclure un contrat qui définit les droits et devoirs de chacun. Si aucune instruction n’est donnée au sous-traitant dans l’exécution des missions qui lui sont confiées, il ne pourra y avoir de maîtrise du sort des données. Il est donc essentiel d’organiser la gouvernance des sous-traitants, avec la mise en place d’un pilotage de ces derniers, indispensable à tous les stades de la relation : lors de la construction d’un projet dans le cadre d’une étude de Privacy by design, lors du lancement d’un appel d’offre, à travers le contrat conclu, durant l’exécution des prestations, etc.
Sur quoi doivent porter les contrôles ?
Les contrôles doivent porter sur les garanties apportées par le sous-traitant en matière de protection des données. Il s’agira par exemple de demander des informations sur la gouvernance RGPD mise en place : a-t-il désigné un délégué à la protection des données (DPO) ? Dispose-t-il d’une politique de protection des données, documente-t-il sa conformité ? A-t-il des certifications, a-t-il mis en place une procédure de remontée des violations de données personnelles, etc. ? Il convient également d’évaluer son expertise et les ressources dont il dispose en matière de protection des données personnelles et de sécurité des systèmes d’information. Les petits organismes et start-up innovantes ont souvent des moyens limités qui ne sont pas nécessairement investis sur ces sujets. Il est donc recommandé de conserver à l’esprit ce risque. Concernant les mesures de sécurité qui doivent être mises en œuvre par les sous-traitants, elles sont fonction de la sensibilité des données personnelles qu’il traite pour le compte du responsable de traitement. La bonne pratique consiste à se référer à un référentiel du marché, par exemple le « guide d’hygiène informatique » de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), ou la norme ISO/IEC 27002 qui présente une liste de mesures de sécurité à appliquer sur son Système d’Information.
Comment piloter et prioriser les contrôles ?
Il est primordial d’organiser les contrôles par criticité des sous-traitants. L’organisme commencera donc par les classer pour définir 3 niveaux de criticité par exemple. Il faut commencer par déterminer des critères de classement : la sensibilité des données traitées, les services stratégiques fournis par le sous-traitant, le niveau d’accès aux données, aux applications et aux systèmes. Ensuite, pour chaque niveau de criticité, l’organisme devra décrire ses exigences de sécurité et prévoir leur mise en application dans le contrat, ou mieux, les insérer dans un document contractuel spécifique intitulé « Plan d’Assurance Sécurité » ou PAS.
Les difficultés rencontrées
De nombreuses questions émanent de ces obligations dont une centrale en matière de contrôle : définir qui supportera le coût d’un audit de conformité. Un point qu’il est vivement recommandé de traiter au sein du contrat. La maîtrise de la chaine de sous-traitance est également un enjeu du contrôle des sous-traitants. Il est, en effet, nécessaire de s’assurer que le recours par le prestataire à des sous-traitants ultérieurs n’altèrera pas la protection des données confiées. Il conviendra de spécifier au sein du contrat que le sous-traitant de rang 1 mettra à la charge de ses propres sous-traitants les mêmes obligations et sera responsable de tout manquement.
Le contrôle des fournisseurs de services numériques incontournables pose également des difficultés, et ce, à tous les stades de la relation. Il est généralement très difficile de négocier les contrats proposés par ces grands acteurs qui appliquent la politique du « take it or leave it ». De même, les audits, qu’ils soient déclaratifs ou en présence, seront quasi impossibles. Toutefois, certains acteurs mettent à disposition, contre signature d’un accord de confidentialité, les conclusions de leurs rapports d’audit. Mais la démonstration par les organismes du respect de leurs obligations en matière de contrôle de ces sous-traitants ne sera pas optimale.
Le contrôle des PME/PMI et des start-up, enfin, pose lui aussi deux niveaux de difficulté : obtenir des réponses fiables dans des délais raisonnables, compte tenu notamment des moyens alloués à la gouvernance des données personnelles et à leur sécurité qui sont insuffisants, par manque de temps et de maîtrise des sujets. La seconde difficulté réside dans l’évolution très rapide d’une situation au sein de la structure du sous-traitant, qui peut perdre le niveau de maturité qu’il avait atteint. Il est donc nécessaire de procéder régulièrement à des contrôles ou audits.
Le RGPD a permis de mettre en évidence un sujet jusqu’alors peu identifié au sein des organismes. Au-delà de l’aspect réglementaire, il est donc stratégique pour les organismes de mettre en place une gouvernance de la sous-traitance adaptée à ses enjeux propres. La première étape sera donc d’identifier les sous-traitants les plus critiques afin de les traiter en priorité.