Signer un contrat au titre de l'article 28 ne suffit pas à satisfaire au devoir de diligence du responsable du traitement. L'organisation doit sélectionner des sous-traitants offrant des garanties suffisantes et être en mesure de démontrer que le traitement reste conforme pendant toute la durée de la relation. L'intensité de l'audit s'adapte au risque, mais il doit toujours exister une information suffisante sur les rôles, les mesures de sécurité, les sous-traitants ultérieurs, les transferts internationaux, les incidents et les conditions de sortie.
Étape 1. Confirmer le rôle réel
Les notions de responsable du traitement et de sous-traitant sont fonctionnelles, non des étiquettes contractuelles. Un prestataire qui décide de ses propres finalités sur les données peut être responsable du traitement pour cette activité précise, même si le contrat le qualifie de sous-traitant.
Il convient de répondre à ces questions pour chaque prestataire :
- Qui décide de la finalité du traitement ?
- Qui décide des moyens essentiels du traitement ?
- Le prestataire utilise-t-il les données pour sa propre analyse, sa publicité ou pour entraîner ses propres systèmes ?
- Combine-t-il les données de différents clients ?
- Respecte-t-il toujours les instructions reçues ?
- Existe-t-il une coresponsabilité du traitement ?
Le rôle peut varier selon le service précis fourni par le même prestataire.
Inventaire des prestataires
Avant d'auditer, il faut savoir qui auditer. L'inventaire doit recueillir, au minimum, ces champs :
| Champ | Contenu |
|---|---|
| Service | CRM, paie, cloud, support |
| Données | Catégories et volume traité |
| Personnes | Clients, personnel, mineurs |
| Accès | Hébergement, accès distant, API |
| Pays | Centres de traitement et support |
| Sous-traitants ultérieurs | Identité et fonction de chacun |
| Criticité | Impact et dépendance opérationnelle |
| Contrat | Version en vigueur et date de renouvellement |
| Propriétaire | Service responsable de la relation |
Sans cet inventaire, aucun audit ne peut être priorisé.
Classer le risque
La priorité de chaque prestataire dépend de plusieurs critères combinés :
- Traitement de catégories particulières de données.
- Traitement à grande échelle.
- Données de mineurs.
- Capacité du prestataire à prendre des décisions concernant les personnes.
- Accès privilégié aux systèmes.
- Forte dépendance opérationnelle envers le prestataire.
- Transferts internationaux de données.
- Longue chaîne de sous-traitants ultérieurs.
- Difficulté à changer de prestataire.
- Antécédents d'incidents ou de manquements.
Les prestataires critiques font l'objet d'un examen documentaire et technique plus approfondi, et d'un suivi plus fréquent.
Contrat de l'article 28
Le contrat avec le sous-traitant doit couvrir, au minimum :
- Objet et durée du traitement.
- Nature et finalité du traitement.
- Type de données et personnes concernées.
- Instructions du responsable.
- Obligation de confidentialité.
- Mesures de sécurité.
- Conditions de recours à des sous-traitants ultérieurs.
- Assistance pour l'exercice des droits des personnes concernées.
- Notification des violations de sécurité.
- Aide aux analyses d'impact et aux consultations préalables de l'autorité.
- Restitution ou suppression des données à la fin du contrat.
- Droit d'information et d'audit.
Reproduire le texte de l'article 28 ne suffit pas : le contrat doit décrire le service réellement fourni.
Instructions
Les instructions du responsable doivent couvrir la configuration du service, les pays de traitement, les délais de conservation, les sauvegardes, le support technique et les conditions de fin de contrat. Il convient de les versionner et de consigner qui approuve chaque changement.
Si le prestataire estime qu'une instruction est contraire à la réglementation, il doit en informer le responsable. S'il agit en dehors des instructions reçues, il peut finir par assumer sa propre responsabilité en tant que responsable du traitement.
Sous-traitants ultérieurs
Le responsable doit connaître l'identité et la localisation de toute la chaîne pertinente de sous-traitants ultérieurs. Lorsqu'une autorisation générale existe, le sous-traitant doit informer des changements et offrir la possibilité de s'y opposer.
Il convient de vérifier que les mêmes obligations du contrat principal sont répercutées sur chaque sous-traitant ultérieur et qu'il existe une capacité réelle de contrôle sur toute la chaîne. Une simple mention générique à des « prestataires leaders du secteur » ne constitue pas une liste suffisante.
Sécurité
Il convient de demander des preuves proportionnées au risque du traitement sur :
- Architecture de sécurité du service.
- Gestion des identités et authentification multifacteur.
- Chiffrement des données.
- Gestion des vulnérabilités et application des correctifs.
- Ségrégation des environnements et des clients.
- Journalisation de l'activité.
- Sauvegardes et tests de restauration.
- Pratiques de développement sécurisé.
- Plans de continuité d'activité.
- Tests de sécurité périodiques.
- Certifications de sécurité et leur périmètre.
Un certificat ne dispense pas de vérifier si son périmètre couvre réellement le produit contracté, la région et la période de validité.
Transferts
Il convient de cartographier les pays où les données sont traitées, l'accès distant depuis des pays tiers et le mécanisme de transfert utilisé. En présence de clauses contractuelles types, il faut examiner leurs annexes, l'analyse d'impact du transfert et les mesures supplémentaires appliquées. Le fait que le prestataire soit établi dans l'Union européenne n'exclut pas qu'il reçoive un support technique depuis l'extérieur de celle-ci.
Droits des personnes concernées
Il convient de tester un cas réel de bout en bout, en vérifiant la capacité du prestataire à :
- Localiser les données d'une personne précise.
- Les exporter dans un format exploitable.
- Les rectifier.
- Les supprimer ou les limiter.
- Protéger les données des tiers concernés.
- Répondre dans le délai légal.
La promesse contractuelle doit fonctionner techniquement, y compris lorsque des sauvegardes entrent en jeu.
Violations de données
Le prestataire doit notifier toute violation de sécurité sans délai indu, en laissant au responsable suffisamment de temps pour évaluer ses propres obligations de notification. La procédure doit définir le canal de contact, le contenu de la notification, les mises à jour ultérieures et les preuves conservées.
Il convient de simuler la perte d'un identifiant ou une exposition de données et de vérifier comment le prestataire fait remonter l'incident.
Conservation et suppression
Il convient de distinguer les données actives, les sauvegardes, les journaux et les archives historiques. À la fin de la relation avec le prestataire, les éléments suivants doivent être garantis :
- Une exportation des données dans un format exploitable.
- La révocation des accès.
- La restitution des données.
- La suppression effective.
- Un certificat ou une preuve de suppression.
- Le traitement des sauvegardes.
- La clôture de la relation avec les sous-traitants ultérieurs.
Le blocage de la sortie pour factures impayées du prestataire ne justifie pas la conservation des données du client sans base légale.
Droit d'audit
Le droit d'audit peut s'exercer par questionnaire, examen des preuves, rapport d'un tiers indépendant, entretien, test technique ou visite sur site. Il s'adapte au risque du traitement et doit protéger la sécurité de l'information.
Le prestataire ne peut bloquer toute possibilité d'audit en invoquant la confidentialité, même s'il peut convenir de conditions raisonnables pour le réaliser.
Notation
Une façon d'organiser l'examen consiste à pondérer chaque domaine selon son poids dans le risque global :
| Domaine | Poids |
|---|---|
| Rôles et contrat | 15 |
| Sécurité | 25 |
| Sous-traitants ultérieurs | 15 |
| Transferts | 15 |
| Droits et conservation | 10 |
| Incidents | 10 |
| Continuité et sortie | 10 |
Les défaillances critiques sont éliminatoires, même si la note moyenne du prestataire est élevée.
Suivi
L'audit ne s'arrête pas au rapport. Il convient de rouvrir l'examen face à certains déclencheurs :
- Renouvellement du contrat.
- Intégration d'un nouveau sous-traitant ultérieur.
- Un incident de sécurité.
- Changement de région de traitement.
- Une nouvelle finalité d'utilisation des données.
- Une acquisition ou un changement d'actionnariat du prestataire.
- Un changement substantiel du service.
- Une dégradation financière du prestataire.
Chaque déclencheur doit consigner l'action à mener, le responsable et le délai.
Plan d'audit
Semaine 1
Définition du périmètre, du rôle du prestataire et du niveau de risque.
Semaine 2
Examen du contrat, des sous-traitants ultérieurs et des transferts internationaux.
Semaine 3
Examen de la sécurité, de la continuité et tests techniques.
Semaine 4
Rédaction du rapport, plan d'action et décision concernant le prestataire.
Erreurs fréquentes
- Se fier à la marque ou à la réputation du prestataire sans vérifier les preuves.
- Classer le risque uniquement selon ce que dit le contrat.
- Ne pas connaître l'identité des sous-traitants ultérieurs.
- Accepter des certificats de sécurité sans en vérifier le périmètre.
- Ne pas examiner les transferts internationaux de données.
- Ne pas réellement tester l'exercice des droits des personnes concernées.
- Accepter un délai de notification des violations insuffisant.
- Ne pas planifier la sortie ou le changement de prestataire.
- Auditer le prestataire une seule fois sans jamais recommencer.
- Ne pas clôturer le suivi des actions identifiées.
Checklist
- Confirmer le rôle réel du prestataire.
- Établir l'inventaire et classer la criticité.
- Vérifier que le contrat est complet.
- Documenter les instructions.
- Identifier les sous-traitants ultérieurs.
- Examiner la sécurité et demander des preuves.
- Cartographier les transferts internationaux.
- Tester les droits des personnes concernées.
- Examiner la procédure de gestion des violations.
- Définir la conservation et le plan de sortie.
- Planifier le suivi ultérieur.
Questions fréquentes
Faut-il auditer tous les prestataires de la même façon ?
Non. L'intensité de l'audit doit être proportionnée au risque, mais tous les prestataires doivent offrir des garanties suffisantes.
La certification ISO 27001 du prestataire suffit-elle ?
Non. Elle aide, mais il faut vérifier son périmètre et si elle couvre réellement les exigences de protection des données du traitement.
Le responsable doit-il connaître tous les sous-traitants ultérieurs ?
Le Comité européen de la protection des données (CEPD) souligne que le responsable doit disposer d'informations sur l'identité de toute la chaîne de sous-traitants ultérieurs afin de pouvoir respecter ses propres obligations.
Peut-on auditer un grand prestataire de services cloud ?
Oui, en combinant rapports de tiers, certifications, examen du contrat, preuves documentaires et conditions raisonnables pour exercer le droit d'audit.
Sources consultées
- RGPD, article 28 (EUR-Lex)
- AEPD (autorité espagnole de protection des données) : lignes directrices sur les contrats entre responsables et sous-traitants
- CEPD : lignes directrices sur les notions de responsable et de sous-traitant
- AEPD (autorité espagnole de protection des données) : guide de la protection des données dès la conception
Summum Consultoría peut aider à prioriser, auditer et suivre les prestataires qui traitent des données à caractère personnel, dans le cadre de l'accompagnement en tant que DPO externe et de la gouvernance des données de l'entreprise.