Le RGPD en pratique : sécurité, mesures contractuelles et évaluation

sécurité des données

Plus d’un an après l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), le niveau de sécurité des données dans les entreprises n’a pas progressé, d’après les rapports Global Data Risk Report et Vulnerability and threat trends et les risques en matière de sécurité informatique auraient même significativement augmenté. Or, la grande majorité des entreprises qui traitent un volume important de données externalisent le traitement de ces données auprès de prestataires, avec des prestations de plus en plus complètes (en SaaS, PaaS, … ).

Le risque qui pèse sur la sécurité informatique est donc à la fois un risque interne mais aussi un risque externe, lié à l’écart entre le niveau de sécurité du prestataire et le niveau de sécurité requis par le contrat ou la règlementation, par exemple. Les sous-traitants sont ainsi des cibles de choix pour les hackers. La cyberattaque contre le distributeur américain Target en 2013 fait à ce titre, office de cas d’école : des pirates informatiques ont exploité une faille de sécurité dans le système informatique du sous-traitant qui s’occupait de la climatisation pour dérober plusieurs millions de données bancaires. Et si on a en tête le fait qu’en cas de violation de données (atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données) les risques vont bien au-delà des risques réglementaires : opérationnels ; réputationnels ; et financiers … alors on prend conscience qu’il est indispensable, pour une entreprise, de mettre en place toutes les garanties possibles pour assurer la sécurité de son patrimoine immatériel.

Pour cela, les organisations doivent prévoir des mesures idoines, qu’elles doivent également imposer, le cas échéant, à leurs prestataires.
Mais comment s’assurer que les mesures mises en œuvre sont suffisantes pour assurer la conformité en matière de sécurité des données de l’organisme ?

Quel est l’étendue de l’obligation de sécurité ?

Le RGPD impose aux responsables de traitement et aux sous-traitants de mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » . Cette obligation générale de sécurité a pour conséquence de faire supporter au sous-traitant comme au responsable de traitement la responsabilité d’assurer la sécurité des données à caractère personnel qu’il traite. A ce titre, ils devront évaluer si le niveau de sécurité qu’ils mettent en œuvre est proportionné au risque existant de violation de données.

Le responsable de traitement doit, de plus, s’assurer que le sous-traitant auquel il fait appel « présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées » , y compris en matière de sécurité des données.
Si le RGPD a renforcé la responsabilité du sous-traitant dans le cadre d’un traitement de données à caractère personnel, cela ne décharge donc pas pour autant le responsable de traitement de ses obligations à l’égard des personnes concernées lorsqu’il procède au choix de son prestataire et à son évaluation.
Ainsi, le responsable de traitement doit, pour assurer sa conformité à la réglementation, procéder à l’analyse de son propre niveau de sécurité mais aussi de celui de son prestataire.

Quelles mesures contractuelles doit-on prévoir ?

Mesures de sécurité

Nous avons vu qu’il n’est pas possible, pour le responsable de traitement de se décharger des questions de sécurité sur son sous-traitant.
Contractuellement, il est donc important, pour le responsable de traitement, de contraindre le sous-traitant à assurer un bon niveau de sécurité en détaillant les mesures qu’il doit mettre en place : formation des salariés, mise en œuvre des mesures recommandées par l’ANSSI mais aussi certifications ou adoption d’un code de conduite.

A noter : L’application par le sous-traitant, d’un code de conduite approuvé ou d’un mécanisme de certification sont des moyens, pour ce dernier, de garantir au responsable de traitement qu’il propose un niveau de sécurité adapté aux services qu’il fournit et donc qu’il est conforme à la règlementation.

Evaluation

Le responsable de traitement à également l’obligation de s’assurer que les mesures ainsi prescrites sont effectivement mises en œuvre par son sous-traitant.
La possibilité de réaliser des audits de conformité chez un prestataire est prévue par la règlementation. Un sous-traitant a une obligation de collaboration, qui implique a minima de « mettre à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues [par la règlementation] et pour permettre la réalisation d’audits » . Ces audits peuvent être réalisés par le responsable de traitement lui-même ou un auditeur externe.
Cette obligation de collaborer à des audits est toutefois limitée et le recours à des arrangements contractuels semble obligatoire.

La réalisation de tests d’intrusion, par exemple, qui permettent à la fois d’évaluer le niveau de sécurité d’un prestataire et de pointer d’éventuelles failles, ne peuvent pas être mis en œuvre sans un accord préalable du prestataire. Le code pénal, depuis 1988 interdit en effet d’accéder ou de se maintenir frauduleusement dans un système de traitement automatisé de données , mais aussi d’entraver ou d’agir sur les données d’un tel système sans y avoir été autorisé.
Le cadre de l’audit ainsi que ses limites doivent donc impérativement être prévu par le contrat : mesures autorisées (faux-phishing, tests d’intrusion…), délai de prévenance, documents ou fichiers accessibles, confidentialité … il semble difficile, pour les acteurs d’un traitement de données de se contenter de la mention rendue obligatoire par l’article 28 du RGPD.

La question des coûts

Une dernière question se pose alors, celle du coût de la mise en place de ces mesures de sécurité. Le directeur de l’ANSSI estime en effet que le coût de la cybersécurité représente, en 2018 entre 5% et 10 % du budget informatique d’une entreprise .
Dans la mesure où le RGPD impose au sous-traitant de participer activement à la protection des données : il a l’obligation de mettre en œuvre des mesure appropriées et donc de proposer des services incluant ces mesures de sécurité, il faut considérer que la nouvelle règlementation fait peser sur le sous-traitant le coût de la sécurité.
Toutefois, si un organisme entend mettre à la charge de son sous-traitant le coût de mesures de sécurité que le sous-traitant ne juge pas nécessaires au vu de son activité, tel que des formations, certifications ou test d’intrusion, la négociation pourra se révéler plus difficile.

En tout état de cause, il est essentiel de ne pas prendre à la légère la contractualisation avec un sous-traitant : que ce soit sur les mesures attendues, les conditions des évaluations ou la répartition des coûts engendrés par leur mise en œuvre. Les risques opérationnel et financier qui peuvent être ainsi évités en valent largement la chandelle.


Pour en savoir plus : Notre RDV d’actualité sur les RGPD, le mardi 26 Novembre 2019 à Paris

Yaël Cohen-Hadria

Avocate en droit des affaires
MARVELL AVOCATS