La gestion de la sécurité de l’information, la protection des données et la conformité au regard du RGPD dans les relations avec les fournisseurs
Emmanuel Poidevin, Président et fondateur de E-attestations.com, éditeur de solutions de pilotage de la conformité des tiers à l’attention des donneurs d’ordre publics et privés

Le RGPD consacre le partage des responsabilités entre responsables de traitement et sous-traitants. Les informations ne sont plus limitées aux frontières du système interne et la majorité des données sont stockées et manipulées sur et depuis des systèmes tiers. Il est donc indispensable de mettre en œuvre une politique de sécurité des fournisseurs dynamique pour garantir un niveau de sécurité et une protection des données conforme à la réglementation.
Le RGPD intègre des exigences très strictes qui amélioreront et uniformiseront les normes de protection, de sécurité et de conformité des données. Au-delà de la sévérité des sanctions encourues, les entreprises, les administrations et toutes les organisations doivent envisager le RGPD et son application comme une opportunité de développer une gouvernance des données qui protège et apporte des garanties en phase avec les attentes du consommateur et du citoyen.
Plus de 75 % des données de nos systèmes d’information sont traitées par des tiers et de nombreuses fuites récentes de données personnelles sont liées à une cyberattaque visant un fournisseur ou sa messagerie. Il devient ainsi essentiel de mettre en place une politique de sécurité et de protection des données avec ses fournisseurs, afin d’éviter qu’ils ne les rendent vulnérables. Par exemple, s’il existe un besoin particulier de confidentialité, il est possible de mettre en place des engagements de non-divulgation. Il est absolument nécessaire que le fournisseur soit pleinement conscient de sa responsabilité légale ou contractuelle en matière de protection de l’information.
Sécurité de l’information, protection des données et fournisseurs
Le RGPD implique une gestion et une responsabilité accrue vis-à-vis des sous-traitants, le texte imposant notamment au responsable de traitement de ne faire appel qu’aux « sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences » du règlement. Dès lors, comment s’assurer qu’ils donnent des garanties suffisantes ?
Certains outils, comme la norme ISO/CEI 27001, offrent justement une approche opérationnelle de la gestion d’un fournisseur. Concrètement, il s’agit de définir des mesures de sécurité liées aux fournisseurs pour garantir la protection des actifs du responsable de traitement qui leur sont accessibles, mais également pour maintenir le niveau de sécurité de l’information et de service conformément aux accords conclus.
La première étape consiste à définir le niveau de sécurité et de protection des données qui sera encadré dans une politique de sécurité de l’information et de protection des données. Les critères suivants sont à prendre en compte pour la conclusion d’accords ou d’avenants au contrat :
- Une description de l’information à fournir (ou à laquelle l’accès doit être rendu possible) et des méthodes utilisées pour fournir ces informations (ou y accéder) ;
- Une classification de l’information selon son plan de classification ou à minima en correspondance ;
- Une information sur les exigences légales et réglementaires, y compris la protection des données, les droits de propriété intellectuelle et les droits d’auteur, et la description de la méthode servant à garantir qu’elles sont respectées ;
- L’obligation pour chaque partie au contrat de mettre en œuvre un ensemble convenu de con-trôles, incluant le contrôle d’accès, la revue des performances, la surveillance, la rédaction de rapport et l’audit ;
- Une description des procédures ou conditions liées à l’octroi et au retrait d’autorisations pour l’accès à l’information de l’organisation ou la réception d’information de l’organisation à destination des salariés du fournisseur (une liste explicite des salariés du fournisseur autorisés à recevoir ou à accéder à l’information de l’organisation peut également convenir) ;
- Les politiques de sécurité de l’information pertinentes pour le contrat spécifique ;
- Les exigences et les procédures de gestion des incidents (notamment la notification et la collaboration lors de l’action corrective) ;
- Les exigences de formation et de sensibilisation aux procédures spécifiques et aux exigences de sécurité de l’information ;
- Les partenaires signataires de l’accord, et les coordonnées des contacts dédiés aux questions de sécurité et de protection des données (RSSI, DPO…) ;
- Le droit d’auditer les processus et les mesures de sécurité du fournisseur en rapport avec le contrat ;
- Les procédures de continuité de l’activité dans le cas où le fournisseur ne serait plus en mesure de fournir ses produits ou ses services.
Les accords peuvent différer considérablement d’une organisation à l’autre et selon les types de fournisseurs. Il convient, par conséquent, de veiller à bien inclure tous les risques et toutes les exigences pertinentes liées à la sécurité et à la protection des données. Les accords conclus avec les fournisseurs peuvent également impliquer d’autres parties (par exemple des sous-traitants).
Il faut ensuite connaître précisément les fournisseurs concernés afin d’évaluer le niveau de risque et de sécurité attendu en les classant par ordre de priorité. Selon le nombre de tiers concernés et la complexité des éléments, il est recommandé de s’appuyer sur des plateformes de gestion de conformité et de gérer les éléments de façon dématérialisée.
À titre d’exemple, les règles définies dans la politique de sécurité et de protection des données s’appliquent aux tiers qui sont amenés à :
- Accéder à de l’information ou à des systèmes d’information de votre organisation ou de ses parties prenantes ;
- Stocker ou héberger de l’information et des données ;
- Manipuler des données et avoir connaissance d’informations de votre organisation ou de ses parties prenantes pour la réalisation des activités, des missions ou la délivrance de services.
Il peut s’agir de fournisseurs de services d’infogérance, d’hébergement ou de prestations intellectuelles externes/internes, de fournisseurs d’applications en mode SaaS, d’infrastructure en mode IaaS et PaaS, de partenaires intégrateurs.
L’utilisation de questionnaires accompagnés des éléments de preuve est ensuite un outil incontournable pour s’assurer que les tiers et fournisseurs ont bien implémenté ces mesures et qu’ils respectent les exigences de votre politique, ainsi que celles du RGPD. Sur cette base, un audit de vérification de la véracité et de l’exactitude des informations fournies pourra être imposé à certains fournisseurs critiques.
Le suivi dans le temps et la gestion des changements
La prise en compte de la sécurité et de la protection des données d’un fournisseur ne doit pas uniquement être réalisée à la signature d’un contrat ou à l’apparition de la nouvelle réglementation. Il faut réaliser une gestion continue et surveiller, revoir et auditer à intervalles réguliers la prestation des services assurés par les fournisseurs.
Il faudra en particulier gérer les changements effectués dans les prestations de service des fournisseurs, y compris le maintien et l’amélioration des politiques, des procédures et mesures existantes en matière de sécurité de l’information et de protection des données. Cela implique pour le responsable de traitement de tenir compte du caractère critique de l’information, des systèmes et des processus concernés.
Une réappréciation du risque est également de rigueur, notamment en cas de changements apportés aux accords passés avec les fournisseurs, d’utilisation de nouvelles technologies, de mises à jour produits, de déménagements, changements d’actionnariat, de changements de fournisseurs ou encore de sous-traitance à un autre fournisseur…
Les risques relatifs à la sécurité de l’information et la protection des données associés aux tiers, et en particulier aux fournisseurs, représentent un enjeu stratégique en termes de réputation et de confiance des organisations. Il convient d’en prendre conscience et d’appliquer les mesures opérationnelles adéquates pour être prêts non seulement en cas de contrôle ou d’audit, mais surtout quand les évènements de sécurité surviendront.

