Sécurité : Gérer la sous-traitance


Encadrer la sécurité des données avec les sous-traitants.

Les données communiquées à des sous-traitants ou gérées par ces derniers doivent bénéficier de garanties suffisantes.

Les précautions élémentaires

Faire appel uniquement à des sous-traitants présentant des garanties suffisantes (notamment en termes de connaissances spécialisées, de fiabilité et de ressources). Exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information.

Prendre et documenter les moyens (audits de sécurité, visite des installations, etc.) permettant d’assurer l’effectivité des garanties offertes par le sous-traitant en matière de protection des données. Ces garanties incluent notamment :

  • le chiffrement des données selon leur sensibilité ou à défaut l’existence de procédures garantissant que la société de prestation n’a pas accès aux données qui lui sont confiées si cela n’est pas nécessaire à l’exécution de son contrat ;
  • le chiffrement des transmissions de données (ex : connexion de type HTTPS, VPN, etc.) ;
  • des garanties en matière de protection du réseau, de traçabilité (journaux, audits), de gestion des ha- bilitations, d’authentification, etc.

Prévoir un contrat avec les sous-traitants, qui définit notamment l’objet, la durée, la finalité du traitement et les obligations des parties. S’assurer qu’il contient en particulier des dispositions fixant :

  • leur obligation en matière de confidentialité des données personnelles confiées ;
  • des contraintes minimales en matière d’authentification des utilisateurs ;
  • les conditions de restitution et/ou de destruction des données en fin du contrat ;
  • les règles de gestion et de notification des incidents. Celles-ci devraient comprendre une information du responsable de traitement en cas de découverte de faille de sécurité ou d’incident de sécurité et cela dans les plus brefs délais lorsqu’il s’agit d’une violation de données à caractère personnel.

Ce qu’il ne faut pas faire

  • Entamer la prestation de sous-traitance sans avoir signé un contrat avec le prestataire reprenant les exigences posées par l’article 28 du Règlement général sur la protection des données.
  • Avoir recours à des services de cloud sans garantie quant à la localisation géographique effective des données et sans s’assurer des conditions légales et des éventuelles formalités auprès de la CNIL pour les transferts de données en dehors de l’Union européenne.

Pour aller plus loin

Les mots clés associés à cet article