Sécurité : Gérer la sous-traitance

Les traitements de données réalisés par un sous-traitant pour le compte du responsable de traitement doivent bénéficier de garanties suffisantes, notamment en matière de sécurité. Le responsable de traitement doit avoir connaissance du détail des mesures de sécurité mises en œuvre par ses sous-traitents est nécessaire pour la démonstration de la conformité.

Les précautions élémentaires

Faire appel uniquement à des sous-traitants présentant des garanties suffisantes (notamment en termes de connaissances spécialisées, de fiabilité et de ressources). Exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information et de ses éventuelles certifications.

Prévoir un contrat avec les sous-traitants, qui définit notamment l’objet, la durée, la finalité du traitement ainsi que les obligations des parties, notamment en termes de sécurité des traitements. S’assurer qu’il contient en particulier des dispositions fixant :

• la répartition des responsabilités et des obligations en matière de confidentialité des données personnelles confiées ;
• des contraintes minimales en matière d’authentification des utilisateurs ;
• les conditions de restitution et de destruction des données en fin du contrat ;
• les règles de gestion et de notification des incidents. Celles-ci devraient comprendre une information du responsable de traitement en cas de découverte de faille de sécurité ou d’incident de sécurité et cela dans les plus brefs délais lorsqu’il s’agit d’une violation de données personnelles ;
• l'assistance que doit fournir le sous-traitant pour garantir le respect des obligations de sécurité ;
• la revue régulière des mesures de sécurité et, le cas échéant, les conditions de leur révision.

Prévoir les moyens de vérifier l'effectivité des garanties offertes par le sous-traitant en matière de protection des données (ex : audits de séucirté, visite des installations). Ces garanties incluent notamment :

• le chiffrement des données selon leur sensibilité ou, à défaut, l’existence de procédures garantissant que la société de prestation n’a pas accès aux données qui lui sont confiées si cela n’est pas nécessaire à l’exécution de son contrat ;
• le chiffrement des transmissions de données (ex : connexion de type HTTPS, mise en place de VPN) ;
• des garanties en matière de protection du réseau, de traçabilité (journaux, audits), de gestion des ha- bilitations, d’authentification, d'audits, etc.

Ce qu’il ne faut pas faire

• Entamer la prestation de sous-traitance sans avoir signé un contrat avec le prestataire reprenant les exigences posées par l’article 28 du RGPD.
• Avoir recours à des services de cloud sans garantie quant à la localisation géographique effective des données et sans s’assurer des conditions légales et des éventuelles formalités auprès de la CNIL pour les transferts de données en dehors de l’Union européenne.

Pour aller plus loin

• La CNIL a publié un guide à destination des sous-traitants.
• Consulter et mettre en oeuvre les dispositions de l’article 28 du RGPD.
• Concernant le cloud computing, privilégier les sous-traitants adhérant à des codes de conduite et s'assurer que ces codes de conduite contiennent, entre autres, des exigences en matière de sécurité et des précisions sur les obligations règlementaires spécifiques au cloud. Voir notamment les codes approuvés par les autorités après avis du Comité européen à la protection des données (CEPD) : CISPE et EU Cloud CoC.
• Concernant les données de santé, un hébergeur doit disposer d'une certification d'hébergeur de données de santé (HDS). L’agence du numérique en santé (ANS) publie la liste des hébergeurs certifiés. À noter que la certification a progressivement remplacé l’agrément HDS depuis 2018 et que certains hébergeurs disposent encore d’un agrément valide.