La gestion de la sécurité de l’information, la protection des données et la conformité au regard du RGPD dans les relations avec les fournisseurs

Emmanuel Poidevin, Président et fondateur de E-attestations.com, éditeur de solutions de pilotage de la conformité des tiers à l’attention des donneurs d’ordre publics et privés

Equipe Compliances
Sep 3, 2018 · 6 min read
Photo by rawpixel on Unsplash

Le RGPD consacre le partage des responsabilités entre responsables de traitement et sous-traitants. Les informations ne sont plus limitées aux frontières du système interne et la majorité des données sont stockées et manipulées sur et depuis des systèmes tiers. Il est donc indispensable de mettre en œuvre une politique de sécurité des fournisseurs dynamique pour garantir un niveau de sécurité et une protection des données conforme à la réglementation.

Le RGPD intègre des exigences très strictes qui amélioreront et uniformiseront les normes de protection, de sécurité et de conformité des données. Au-delà de la sévérité des sanctions encourues, les entreprises, les administrations et toutes les organisations doivent envisager le RGPD et son application comme une opportunité de développer une gouvernance des données qui protège et apporte des garanties en phase avec les attentes du consommateur et du citoyen.

Plus de 75 % des données de nos systèmes d’information sont traitées par des tiers et de nombreuses fuites récentes de données personnelles sont liées à une cyberattaque visant un fournisseur ou sa messagerie. Il devient ainsi essentiel de mettre en place une politique de sécurité et de protection des données avec ses fournisseurs, afin d’éviter qu’ils ne les rendent vulnérables. Par exemple, s’il existe un besoin particulier de confidentialité, il est possible de mettre en place des engagements de non-divulgation. Il est absolument nécessaire que le fournisseur soit pleinement conscient de sa responsabilité légale ou contractuelle en matière de protection de l’information.

Sécurité de l’information, protection des données et fournisseurs

Le RGPD implique une gestion et une responsabilité accrue vis-à-vis des sous-traitants, le texte imposant notamment au responsable de traitement de ne faire appel qu’aux « sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences » du règlement. Dès lors, comment s’assurer qu’ils donnent des garanties suffisantes ?

Certains outils, comme la norme ISO/CEI 27001, offrent justement une approche opérationnelle de la gestion d’un fournisseur. Concrètement, il s’agit de définir des mesures de sécurité liées aux fournisseurs pour garantir la protection des actifs du responsable de traitement qui leur sont accessibles, mais également pour maintenir le niveau de sécurité de l’information et de service conformément aux accords conclus.

La première étape consiste à définir le niveau de sécurité et de protection des données qui sera encadré dans une politique de sécurité de l’information et de protection des données. Les critères suivants sont à prendre en compte pour la conclusion d’accords ou d’avenants au contrat :

  • Une description de l’information à fournir (ou à laquelle l’accès doit être rendu possible) et des méthodes utilisées pour fournir ces informations (ou y accéder) ;

Les accords peuvent différer considérablement d’une organisation à l’autre et selon les types de fournisseurs. Il convient, par conséquent, de veiller à bien inclure tous les risques et toutes les exigences pertinentes liées à la sécurité et à la protection des données. Les accords conclus avec les fournisseurs peuvent également impliquer d’autres parties (par exemple des sous-traitants).

Il faut ensuite connaître précisément les fournisseurs concernés afin d’évaluer le niveau de risque et de sécurité attendu en les classant par ordre de priorité. Selon le nombre de tiers concernés et la complexité des éléments, il est recommandé de s’appuyer sur des plateformes de gestion de conformité et de gérer les éléments de façon dématérialisée.

À titre d’exemple, les règles définies dans la politique de sécurité et de protection des données s’appliquent aux tiers qui sont amenés à :

  • Accéder à de l’information ou à des systèmes d’information de votre organisation ou de ses parties prenantes ;

Il peut s’agir de fournisseurs de services d’infogérance, d’hébergement ou de prestations intellectuelles externes/internes, de fournisseurs d’applications en mode SaaS, d’infrastructure en mode IaaS et PaaS, de partenaires intégrateurs.

L’utilisation de questionnaires accompagnés des éléments de preuve est ensuite un outil incontournable pour s’assurer que les tiers et fournisseurs ont bien implémenté ces mesures et qu’ils respectent les exigences de votre politique, ainsi que celles du RGPD. Sur cette base, un audit de vérification de la véracité et de l’exactitude des informations fournies pourra être imposé à certains fournisseurs critiques.

Le suivi dans le temps et la gestion des changements

La prise en compte de la sécurité et de la protection des données d’un fournisseur ne doit pas uniquement être réalisée à la signature d’un contrat ou à l’apparition de la nouvelle réglementation. Il faut réaliser une gestion continue et surveiller, revoir et auditer à intervalles réguliers la prestation des services assurés par les fournisseurs.

Il faudra en particulier gérer les changements effectués dans les prestations de service des fournisseurs, y compris le maintien et l’amélioration des politiques, des procédures et mesures existantes en matière de sécurité de l’information et de protection des données. Cela implique pour le responsable de traitement de tenir compte du caractère critique de l’information, des systèmes et des processus concernés.

Une réappréciation du risque est également de rigueur, notamment en cas de changements apportés aux accords passés avec les fournisseurs, d’utilisation de nouvelles technologies, de mises à jour produits, de déménagements, changements d’actionnariat, de changements de fournisseurs ou encore de sous-traitance à un autre fournisseur…

Les risques relatifs à la sécurité de l’information et la protection des données associés aux tiers, et en particulier aux fournisseurs, représentent un enjeu stratégique en termes de réputation et de confiance des organisations. Il convient d’en prendre conscience et d’appliquer les mesures opérationnelles adéquates pour être prêts non seulement en cas de contrôle ou d’audit, mais surtout quand les évènements de sécurité surviendront.

Cet article a été publié pour la première fois dans le magazine Compliances paru le 24 mai 2018, disponible sur www.compliances.fr.

Compliances

Compliances est le média professionnel indépendant dédié aux enjeux opérationnels et technologiques de l’anticorruption, de l’éthique des affaires et de la protection des données.

Equipe Compliances

Written by

Compliances est le média professionnel dédié aux enjeux opérationnels et tech de l’anticorruption, de l’éthique des affaires et de la protection des données

Compliances

Compliances est le média professionnel indépendant dédié aux enjeux opérationnels et technologiques de l’anticorruption, de l’éthique des affaires et de la protection des données.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade