RGPD : la conformité de vos tiers conditionne la vôtre (+ nos conseils pratiques)

Les « attaques par rebond », ou l’exploitation des vulnérabilités des tiers

Avec le recul, le règlement général sur la protection des données (RGPD) est arrivé à point nommé. Devenu exécutoire en mai 2018, le RGPD a introduit un cadre clair, cohérent et structurant qui a sans doute amorti le choc de la digitalisation effrénée induite par la pandémie. Dans d’autres circonstances, l’explosion du volume des données, l’accélération des activités basées sur le Cloud et l’essor du travail à distance auraient sans doute engendré des failles tout azimut, menaçant la compétitivité, voire la pérennité des entreprises qui gèrent de grands volumes de Data et/ou qui disposent d’un réseau conséquent de fournisseurs et de partenaires.

Mais si les entreprises ont gagné en maturité sur le volet de la protection de leur Système d’Information (SI), elles ont encore une belle marge de progression sur la conformité de leurs tiers. Comme l’explique Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) au Journal du Net, « passer par la porte est désormais plus compliqué […], et les ‘attaquants’ passent maintenant par les fenêtres… et il y a beaucoup de fenêtres ».

En effet, la transformation digitale et le virage du Cloud ont provoqué des interconnexions beaucoup plus fortes des systèmes d’information entre fournisseurs et clients, multipliant les vulnérabilités sur les données sensibles.

Ce contexte favorise logiquement les « attaques par rebond », avec des pirates informatiques qui exploitent les failles de sous-traitants moins équipés (ou moins sensibilisés) pour atteindre des entreprises plus importantes, et donc potentiellement plus susceptibles de payer des rançons. Sans une gestion rigoureuse des risques liés aux tiers en matière de RGPD, les entreprises s’exposent à des conséquences graves, à la fois sur le plan légal, financier, économique et commercial :

• La Commission nationale de l’informatique et des libertés (CNIL) peut prononcer des sanctions pouvant aller jusqu’à 4 % du chiffres d’affaires annuel mondial ou 20 millions d’euros (selon le montant le plus élevé), en plus de dommages et intérêts compensatoires aux individus lésés, le cas échéant ;
• Les sanctions de la CNIL en cas de manquement peuvent être rendues publiques, avec un impact évident sur l’image de marque de l’entreprise concernée, et une érosion de la confiance mutuelle avec ses clients et/ou fournisseurs.

Plusieurs sanctions ont été médiatisées ces dernières années suite à des violations du RGPD liées aux tiers. Début 2021, la CNIL avait par exemple infligé une amende de 150 000 € à un contrôleur de données anonyme et de 75 000 € à son contrôleur de données tiers pour ne pas avoir mis en œuvre des mesures de sécurité adéquates.

RGPD : le contrôleur vs. Le processeur de données

Le RGPD identifie deux acteurs majeurs lorsqu’il s’agit des responsabilités sur la protection des données : le contrôleur de données, qui décide « comment et pourquoi » les données personnelles sont utilisées, traitées et exploitées, et le processeur de données, qui traite la Data pour le compte du contrôleur.

Lorsqu’un contrôleur partage des données avec un sous-traitant, il est tenu de s‘assurer que ce dernier prend toutes les mesures nécessaires pour les protéger. Il faut noter que la définition du processeur de données ne se limite pas aux sous-traitants qui manipulent et organisent la Data. Elle inclut également les tiers « technologiques » qui fournissent des solutions de stockage sur le Cloud, les messageries électroniques, etc.

Rappelons ici la mise en demeure récente de la CNIL sur l’utilisation de Google Analytics par les administrateurs de sites web en France… une utilisation jugée en violation du RGPD, dans la mesure où les données personnelles transitent par des serveurs situés en dehors de l’Union Européenne.

Les entreprises soumises au RGPD doivent donc s’assurer de la conformité des tiers amenés à collecter, stocker, accéder et/ou traiter des données personnelles, en réalisant une évaluation approfondie des risques pour chaque tiers et en s’assurant que des contrôles appropriés sont mis en place pour maîtriser ces risques.

Pour synthétiser, la conformité de vos tiers conditionne votre propre conformité au RGPD :

• Vous êtes tenu de contrôler la conformité RGPD de vos tiers ;
• Vous êtes légalement co-responsable des failles de sécurité de vos tiers ;
• Votre prestataire peut déléguer des prestations à des sous-traitants. En cas de fuite de données, votre responsabilité peut être engagée ;
• Lorsque vos clients et/ou prospects vous demandent une restitution de leurs données personnelles, cela inclut les données stockées par vos prestataires.

Nos conseils pour assurer la conformité de vos tiers au RGPD

1. Déployez une vue exhaustive de l’ensemble des tiers, et hiérarchisez-les en fonction du risque de sécurité qu’ils font peser sur votre entreprise. Cette approche vous permettra dans un premier temps de traiter les vulnérabilités les plus graves ;
2. Intégrez la conformité au RGPD dès la phase de contractualisation, et faites-en un critère décisif pour la signature ;
3. Mettez à jour les contrats existants pour intégrer (ou renforcer) une clause de protection des données ;
4. La conformité au RGPD ne doit pas se limiter à l’étape de l’onboarding, car elle peut évoluer dans le temps. Un tiers dont le risque a été jugé « acceptable » peut devenir problématique pour plusieurs raisons : changement de gouvernance, élargissement du périmètre de la prestation, évolution réglementaire, etc. Il est donc capital de réévaluer régulièrement les risques en vous basant sur des éléments déclencheurs définis à l’avance ;
5. Faites preuve de vigilance si vous collaborez avec des tiers qui ont recours à des « quatrièmes parties ». Dans ce cas, vous devrez mettre en place des process poussés, avec par exemple un mapping des relations et des flux de données dans l’ensemble de l’écosystème ;
6. Produisez, collectez et organisez les preuves de votre conformité.

En tant que Tiers de Collecte Probatoire (TCP), Provigis vous accompagne pour piloter la conformité de vos tiers au RGPD et optimiser votre gestion des risques. Notre expertise reconnue vous permettra de vous concentrer sur votre cœur de métier et d’évoluer sereinement dans un macroenvironnement numérique et réglementaire complexe et dynamique.