Qu’attendre de ses prestataires informatiques pour la mise en conformité au RGPD ?

Publié le 16/10/2017 - CIO Online - E. Papin

Pour lire l’article d’Etienne Papin du 16 octobre 2017 pour CIO Online.

Le Règlement Général sur la Protection des Données du 27 avril 2016, connu également sous son acronyme anglais « GDPR », entrera en vigueur le 25 mai 2018. Il a provoqué dans de nombreuses entreprises la prise de conscience qu’une réglementation en matière de protection des données personnelles existait, alors que les principes posés par le règlement ne diffèrent aucunement des règles établies en France depuis la loi du 6 janvier 1978 Informatique et Libertés.

Mais en 40 ans, l’informatique s’est considérablement complexifiée et diversifiée, et ce qui était simple à comprendre et respecter en 1978 ne l’est plus du tout en 2017. Il faudra regretter longtemps que les institutions européennes ayant présidé à l’adoption de ce règlement n’aient pas tenu compte de manière plus concrète et réaliste de l’état actuel de la technique : cloud computing, état de l’art de la sécurité informatique, réalité des rapports de force entre fournisseurs et clients, etc.

Parmi les problématiques actuelles liées à la mise en conformité avec le RGPD figure celle des rapports contractuels avec leurs fournisseurs de solutions et services IT.

En théorie les choses sont simples : le monde du traitement des données personnelles se divise en deux catégories. Il y a les responsables de traitements (aussi désignés en pratique « contrôleurs ») et les sous-traitants (aussi désignés en pratique « processeurs »). Le responsable du traitement est celui qui décide de collecter les données. C’est par exemple l’entreprise pour les données de ses salariés traitées dans son SIRH ou les données de ses clients et prospects traitées dans son CRM. Le sous-traitant est celui qui, à la demande de l’entreprise, réalise les opérations de traitement informatique sur les données sans avoir eu l’initiative de leur collecte.

Mais qui est le sous-traitant ?

Dans la réalité, les frontières peuvent se brouiller entre ces deux intervenants. Lorsque les données sont hébergées dans une solution Saas dont les fonctionnalités et caractéristiques techniques sont définies par le fournisseur, celui-ci est-il encore le sous-traitant des données personnelles ? Lorsqu’une entreprise héberge physiquement des données personnelles mais n’y a pas logiquement accès, est-elle sous-traitante ?

Ne cherchez pas la réponse à ces questions dans le RGPD, ces subtilités techniques sont passées au-dessus de la tête du législateur européen qui vit encore sur le mythe du « contrôleur » qui décide de tous et d’un « processeur » qui ne fait qu’exécuter docilement.

La Cnil vient de rendre public un « guide du sous-traitant ». Dans ce guide, la Cnil considère que sont des sous-traitants les prestataires de services informatiques (hébergement, maintenance, etc.), les intégrateurs de logiciels, les SSII qui ont accès aux données. Ainsi, tous les fournisseurs de solutions cloud sont-ils des sous-traitants de données personnelles car, au bout de la hiérarchie des droits d’accès, des personnels de ces fournisseurs ont nécessairement des droits d’accès aux données.

Mais la déclinaison peut aller loin : le datacenter dans lequel l’hébergeur héberge ses serveurs est-il un processeur ? La conservation physique des données sans accès logique aux données fait-il du datacenter un sous-traitant ? La question reste ouverte.

Que peut-on imposer au sous-traitant ?

Le RGPD nécessite une renégociation des rapports contractuels entre responsable de traitement (contrôleur) et sous-traitant (processeur). L’article 28 du RGPD, dans une vision presque incantatoire du rôle du contrat paré de toutes les vertus pour assurer le respect de la loi, impose en effet que le contrat qui lie le responsable du traitement au sous-traitant stipule un certain nombre d’obligations dont certaines méritent quelques développements.

Le sous-traitant doit s’engager à ne traiter les données personnelles « que sur instruction documentée du responsable du traitement ». C’est le plus souvent purement théorique car le contrôleur est dans l’incapacité de documenter ses instructions et le processeur traite tout simplement les données conformément avec les fonctionnalités du service offert… Le contrat entre le contrôleur et le processeur tiendra le plus souvent lieu d’instructions et l’on reste dubitatif lorsque la Cnil conseille dans son guide au sous-traitant de : « recenser par écrit les instructions de votre client concernant les traitements de ses données »… Quel fournisseur de solution IT (hébergeur, Saas, Tmiste, etc.) saura réellement en capacité de tenir un tel recensement ? Il semble ici y avoir un gouffre entre le droit et la réalité.

Le sous-traitant doit également s’engager à « veiller à ce que les personnes autorisées à traiter les données personnelles s’engagent à respecter la confidentialité ». Voici qui impose à tous les prestataires de revoir les stipulations des contrats de travail avec leurs salariés susceptibles d’intervenir sur les données, mais également les contrats avec leurs autres intervenants comme les personnes en assistance technique, et de veiller à leur information et formation en la matière.

Le sous-traitant doit encore « prendre toutes les mesures requises » pour la sécurité du traitement. C’est la cadrature du cercle. Qu’est-ce que la « sécurité » ? La notion n’est pas expressément définie par le RGPD mais l’on comprend de ses considérants qu’il s’agit d’assurer principalement que les données ne soient pas rendues accessibles à une personne non-autorisée et ne soient pas utilisées à des fins détournées. Le règlement se garde bien d’indiquer quelles sont concrètement les mesures à prendre pour atteindre ce résultat, autrement qu’en indiquant qu’il s’agit des mesures techniques et organisationnelles « appropriées ». Le plus souvent, le sous-traitant ne peut pas définir des mesures de sécurité spécifiques pour chacun de ses clients, mais le responsable du traitement entend parfois imposer les siennes… A l’inverse, le sous-traitant peut vouloir s’en remettre aux instructions du responsable du traitement en matière de sécurité mais le responsable du traitement se reposer quant à lui sur le sous-traitant. Force est de constater que la pratique se cherche encore sur cette question.

Le sous-traitant à lui-même des sous-traitants. Et si l’on songe à un service Saas que le fournisseur répartit dans différents datacenters dans le monde entier, sur lesquels plusieurs helpdesks peuvent intervenir en support du client, il est même probable que celui-ci dispose d’un nombre important de sous-traitants et en évolution constante. Le RGPD impose que le « recrutement » (sic) de sous-traitants (sous-processeurs) par le premier sous-traitant (processeur) ne puisse se faire qu’après autorisation préalable du responsable du traitement. C’est dans la plupart des cas impossible. Lorsque le processeur traite les données de nombreux clients, il ne peut attendre l’accord de tous ses clients pour faire évoluer son infrastructure.  Le RGPD prévoit alors que l’autorisation au « recrutement » de nouveau sous-processeurs puisse être générale (il faut donc le prévoir dans le contrat entre contrôleur et sous-traitant) et que le sous-traitant doive informer le responsable du traitement en cas de modification de ses sous-processeurs pour que le responsable du traitement puisse « émettre des objections ». Clients et fournisseurs de services IT doivent donc mettre en place des processus par lesquels cette liste de sous-traitants est tenue à jour et communiquée. Une opération purement formelle qui n’aurait aucune influence réelle sur le respect du droit des personnes… Les contrats doivent également nécessairement prévoir la possibilité pour le client de rompre la relation contractuelle si par extraordinaire celui-ci n’acceptait pas un nouveau sous-processeur.

Enfin, le sous-traitant doit s’engager à permettre la réalisation d’audits par le responsable du traitement ou un autre auditeur qu’il a mandaté et contribuer à ces audits. Gageons que la PME qui héberge sa messagerie chez Google ou Microsoft n’aura pas souvent l’idée d’aller auditer ces tout-puissants prestataires… Encore un exemple de la déconnexion entre le RGPD et la réalité technique et économique.

Au final, nous allons aboutir à une standardisation des clauses dans les contrats de service IT traitant du sujet des données personnelles, ce qui laisse dubitatif sur leur intérêt réel pour les protections des personnes.

Et la responsabilité dans tout ça ?

Admettons que les données personnelles soient l’objet d’une fuite dont l’origine est à rechercher dans la plateforme du sous-traitant. Posons pour les besoins du raisonnement que cette fuite conduise à la divulgation d’informations sensibles (des données bancaires par exemple) de millions d’individus. La situation expose tant le sous-traitant que le responsable du traitement à des demandes de dédommagement en provenance des individus concernés et à des sanctions pécuniaires prononcées par l’autorité de contrôle (jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial dans la circonstance). Le sous-traitant devra faire face à ces risques de condamnation alors que le chiffre d’affaires qu’il aura réalisé avec le responsable de traitements sera largement moindre.

Avec le RGPD, le sous-traitant voit sa responsabilité engagée « s’il n’a pas respecté les obligations » qui lui « incombent spécifiquement ». Le sous-traitant peut être responsable de la fuite des données mais pas pour autant en inexécution de ses obligations contractuelles : la fuite peut, en effet, avoir pour origine non pas une négligence grave du sous-traitant mais un scénario d’attaque complexe qui a déjoué les règles de sécurité convenues entre les parties.

Il est d’usage, et parfaitement logique, qu’au regard d’un gain escompté dans la fourniture d’un service, le prestataire limite son risque financier par l’inclusion d’une clause limitative de responsabilité. Mais cette clause sera-t-elle applicable alors que la fuite de données a pour origine les systèmes du sous-traitant ? Est-ce que le risque lié à la fuite de données peut être rebasculé sur le responsable du traitement au regard de l’économie du contrat ?

A côté des clauses de style que le RGPD impose de prévoir dans les contrats, en voici une qui n’a rien d’évident à négocier mais dont responsables de traitements et sous-traitants doivent absolument se préoccuper.

Autres publications