Sécurité : Gérer la sous-traitance

14 mars 2024

Encadrer la sécurité des données avec les sous-traitants.

Les traitements de données réalisés par un sous-traitant pour le compte du responsable de traitement doivent bénéficier de garanties suffisantes, notamment en matière de sécurité. Le responsable de traitement doit avoir connaissance du détail des mesures de sécurité mises en œuvre par ses sous-traitents est nécessaire pour la démonstration de la conformité.

Les précautions élémentaires

Faire appel uniquement à des sous-traitants présentant des garanties suffisantes (notamment en termes de connaissances spécialisées, de fiabilité et de ressources). Exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information et de ses éventuelles certifications.

Prévoir un contrat avec les sous-traitants, qui définit notamment l’objet, la durée, la finalité du traitement ainsi que les obligations des parties, notamment en termes de sécurité des traitements. S’assurer qu’il contient en particulier des dispositions fixant :

  • la répartition des responsabilités et des obligations en matière de confidentialité des données personnelles confiées ;
  • des contraintes minimales en matière d’authentification des utilisateurs ;
  • les conditions de restitution et de destruction des données en fin du contrat ;
  • les règles de gestion et de notification des incidents. Celles-ci devraient comprendre une information du responsable de traitement en cas de découverte de faille de sécurité ou d’incident de sécuritéet cela dans les plus brefs délais lorsqu’il s’agit d’une violation de données personnelles ;
  • l'assistance que doit fournir le sous-traitant pour garantir le respect des obligations de sécurité ;
  • la revue régulière des mesures de sécurité et, le cas échéant, les conditions de leur révision.

Prévoir les moyens de vérifier l'effectivité des garanties offertes par le sous-traitant en matière de protection des données (ex : audits de séucirté, visite des installations). Ces garanties incluent notamment :

  • le chiffrement des données selon leur sensibilité ou, à défaut, l’existence de procédures garantissant que la société de prestation n’a pas accès aux données qui lui sont confiées si cela n’est pas nécessaire à l’exécution de son contrat ;
  • le chiffrement des transmissions de données (ex : connexion de type HTTPS, mise en place de VPN) ;
  • des garanties en matière de protection du réseau, de traçabilité (journaux, audits), de gestion des habilitations, d’authentification, d'audits, etc.

Ce qu’il ne faut pas faire

  • Entamer la prestation de sous-traitance sans avoir signé un contrat avec le prestataire reprenant les exigences posées par l’article 28 du RGPD.
  • Avoir recours à des services de cloud sans garantie quant à la localisation géographique effective des données et sans s’assurer des conditions légales et des éventuelles formalités auprès de la CNIL pour les transferts de données en dehors de l’Union européenne.

Pour aller plus loin

  • La CNIL a publié un guide à destination des sous-traitants.
  • Consulter et mettre en oeuvre les dispositions de l’article 28 du RGPD.
  • Apporter une attention particulière au choix d’un fournisseur de service cloud (voir la fiche n°22 - Cloud : Informatique en nuage).
  • Toute la chaine de sous-traitance (sous-traitants des sous-traitants) devrait être considérée et non seulement les sous-traitants directs.
  • Lors du choix d’un sous-traitant, l’obtention d’une certification est un premier indice pour évaluer sa fiabilité. Par exemple, la norme internationale ISO/IEC 27001 impose des mesures organisationnelles et techniques pour la mise en place d’un système de management de la sécurité de l’information (SMSI), tandis que la norme ISO/IEC 27701 concerne le système de management de la protection de la vie privée (PIMS en anglais).
  • Concernant les données de santé, un hébergeur doit disposer d'une certification d'hébergeur de données de santé (HDS). L’agence du numérique en santé (ANS) publie la liste des hébergeurs certifiés. À noter que la certification a progressivement remplacé l’agrément HDS depuis 2018 et que certains hébergeurs disposent encore d’un agrément valide.
  • Le cas échéant, exiger la communication par le prestataire de ses certifications et en vérifier le périmètre.