GDPR (16) Maîtrise du risque des sous-traitants & Convention relative au traitement des données à caractère personnel

12 décembre 2017

Comme nous l’avons vu dans les articles précédents, l’un des domaines à risque – pour lequel il faut donc prendre des mesures de sécurité – est le recours aux sous-traitants. Le GDPR est très clair à ce sujet. Un sous-traitant est responsable et a plusieurs obligations, mais le donneur d’ordre qui fait appel à lui pour traiter les données conserve toujours la responsabilité finale. Il doit bien choisir son sous-traitant et se charger de l’application légale. Le donneur d’ordre doit formuler et encadrer clairement la mission, et contrôler le respect des instructions et de la législation, en particulier en matière de sécurité.

Au cours des dernières années, les spécialistes en sécurité des informations ont de plus en plus pris conscience du risque représenté par les sous-traitants. Rien d’étonnant dès lors à ce que le GDPR y accorde une grande attention. Des démarches doivent être entreprises aux différents stades de la collaboration.

Lors de la sélection des fournisseurs, il convient de ne jamais perdre de vue l’aspect « confidentialité des données et sécurité des informations ». Le responsable doit s’assurer qu’un sous-traitant auquel il souhaite recourir connait ses obligations et les respecte de manière adéquate. Il n’existe pas de certification « GDPR compliant », et pour autant que je sache, il n’y a actuellement rien de concret en ce sens. Les instances officielles encouragent les associations professionnelles à rédiger des codes de conduite, grâce auxquels les signataires peuvent démontrer qu’ils connaissent les règles et veulent les suivre. Il y a aussi de plus en plus de questionnaires, utilisés lors des procédures de sélection et dans les dossiers d’adjudication. Il existe des certificats relatifs à la sécurité des informations, mais ils ciblent fortement les grandes organisations et ne sont pas envisageables pour toutes les entreprises ou organisations. Informez-vous toujours auprès de votre futur fournisseur sur sa politique en matière de sécurité des informations et sur les mesures qu’il applique. Tenez-en compte dans vos critères de sélection. Et n’oubliez pas de conserver la documentation récoltée.

Lors de l’attribution d’une mission, il est important de passer les accords contractuels nécessaires en matière de confidentialité des données. La forme toute indiquée à cet égard est la convention de traitement des données à caractère personnel. Il peut s’agir d’une annexe à un contrat ou d’un accord de coopération. Les dispositions peuvent également être intégrées aux conditions générales. Si vous collaborez avec un sous-traitant depuis longtemps, vous devez malgré tout veiller à ce que le GDPR soit respecté. Comme la législation antérieure insistait moins sur les obligations du sous-traitant, il est recommandé de rédiger une version adaptée.

Une convention relative au traitement des données à caractère personnel doit toujours comporter les clauses suivantes :

  • Les rôles de responsable et de sous-traitant sont attribués respectivement au donneur d’ordre et à l’exécutant/fournisseur/sous-traitant.
  • Le sous-traitant ne peut utiliser les données que conformément aux instructions formelles (de préférence écrites) du responsable.
  • Le sous-traitant respecte la confidentialité des données et impose cette obligation à tous ses collaborateurs, qu’ils soient fixes ou temporaires.
  • Le sous-traitant doit mettre en place une sécurité adéquate des données et veiller à ce qu’elles soient et restent disponibles pour la mission (à l’aide de back-ups et de mesures assurant la continuité).
  • En cas de fuite de données, le responsable doit être informé immédiatement. Une procédure permettant de limiter l’impact de la fuite doit exister. Le sous-traitant ne peut en aucun cas en informer lui-même la Commission de protection de la Vie Privée ou les personnes concernées.
  • Au terme de la mission (ou du délai de conservation établi), le sous-traitant doit supprimer les données de manière définitive, et prouver cette suppression. Si cela est applicable, il doit aussi restituer les données au donneur d’ordre.
  • Les données ne peuvent être transmises à des tiers qu’avec l’autorisation du donneur d’ordre. Si le sous-traitant fait lui-même appel à un autre sous-traitant – moyennant accord du donneur d’ordre – il doit veiller à ce que ce dernier respecte les mêmes obligations contractuelles.
  • Le sous-traitant autorise le donneur d’ordre à contrôler la bonne exécution de la mission par le biais d’évaluations ou d’audits.

Si vous êtes dans une petite organisation, vous pouvez sans doute profiter du travail de vos plus gros fournisseurs, qui ont probablement déjà rédigé une convention relative au traitement des données à caractère personnel pour la soumettre à leurs clients. Chez Group Joos, nous avons en tout cas veillé à ce que nos clients ne doivent pas tous fournir des efforts pour chercher quels sont les droits et obligations respectifs du donneur d’ordre et du sous-traitant. Nous avons rédigé une convention que nous avons voulue équilibrée et que nous présentons en temps opportun à nos clients. Cette action est actuellement en cours, et nous nous engageons en tant que sous-traitant à appliquer le GDPR dans sa totalité, même si nous ne sommes pas encore le 25 mai 2018.

Enfin, le responsable est tenu de s’assurer que le contrat est correctement exécuté par le sous-traitant. Dans le cas d’un contrat à plus long terme, il devra effectuer un contrôle régulier. À cet égard, il est important de reprendre le droit d’audit dans les accords contractuels. Cela ne veut pas dire pour autant qu’un responsable auditera chaque année chaque sous-traitant. Les grandes organisations le font – souvent au déplaisir de leurs fournisseurs – auprès des sous-traitants qui, selon elles, courent un risque élevé de causer des infractions ou chez lesquels une infraction aurait un impact considérable. Dans de nombreux cas, le fait de s’assurer que la certification obtenue par le fournisseur est renouvelée chaque année peut suffire. Vous pouvez également faire compléter et signer un questionnaire par le fournisseur, dans lequel il énumère les mesures prises.

Comme avec tous les aspects de cette législation, les actions à entreprendre doivent une fois encore être évaluées par rapport au risque de survenance d’un incident et à l’impact que cela pourrait avoir.

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

LOADING