Audit RGPD des sous-traitants : checklist

·

Signer un contrat au titre de l'article 28 ne suffit pas à satisfaire au devoir de diligence du responsable du traitement. L'organisation doit sélectionner des sous-traitants offrant des garanties suffisantes et être en mesure de démontrer que le traitement reste conforme pendant toute la durée de la relation. L'intensité de l'audit s'adapte au risque, mais il doit toujours exister une information suffisante sur les rôles, les mesures de sécurité, les sous-traitants ultérieurs, les transferts internationaux, les incidents et les conditions de sortie.

Étape 1. Confirmer le rôle réel

Les notions de responsable du traitement et de sous-traitant sont fonctionnelles, non des étiquettes contractuelles. Un prestataire qui décide de ses propres finalités sur les données peut être responsable du traitement pour cette activité précise, même si le contrat le qualifie de sous-traitant.

Il convient de répondre à ces questions pour chaque prestataire :

Le rôle peut varier selon le service précis fourni par le même prestataire.

Inventaire des prestataires

Avant d'auditer, il faut savoir qui auditer. L'inventaire doit recueillir, au minimum, ces champs :

ChampContenu
ServiceCRM, paie, cloud, support
DonnéesCatégories et volume traité
PersonnesClients, personnel, mineurs
AccèsHébergement, accès distant, API
PaysCentres de traitement et support
Sous-traitants ultérieursIdentité et fonction de chacun
CriticitéImpact et dépendance opérationnelle
ContratVersion en vigueur et date de renouvellement
PropriétaireService responsable de la relation

Sans cet inventaire, aucun audit ne peut être priorisé.

Classer le risque

La priorité de chaque prestataire dépend de plusieurs critères combinés :

Les prestataires critiques font l'objet d'un examen documentaire et technique plus approfondi, et d'un suivi plus fréquent.

Contrat de l'article 28

Le contrat avec le sous-traitant doit couvrir, au minimum :

Reproduire le texte de l'article 28 ne suffit pas : le contrat doit décrire le service réellement fourni.

Instructions

Les instructions du responsable doivent couvrir la configuration du service, les pays de traitement, les délais de conservation, les sauvegardes, le support technique et les conditions de fin de contrat. Il convient de les versionner et de consigner qui approuve chaque changement.

Si le prestataire estime qu'une instruction est contraire à la réglementation, il doit en informer le responsable. S'il agit en dehors des instructions reçues, il peut finir par assumer sa propre responsabilité en tant que responsable du traitement.

Sous-traitants ultérieurs

Le responsable doit connaître l'identité et la localisation de toute la chaîne pertinente de sous-traitants ultérieurs. Lorsqu'une autorisation générale existe, le sous-traitant doit informer des changements et offrir la possibilité de s'y opposer.

Il convient de vérifier que les mêmes obligations du contrat principal sont répercutées sur chaque sous-traitant ultérieur et qu'il existe une capacité réelle de contrôle sur toute la chaîne. Une simple mention générique à des « prestataires leaders du secteur » ne constitue pas une liste suffisante.

Sécurité

Il convient de demander des preuves proportionnées au risque du traitement sur :

Un certificat ne dispense pas de vérifier si son périmètre couvre réellement le produit contracté, la région et la période de validité.

Transferts

Il convient de cartographier les pays où les données sont traitées, l'accès distant depuis des pays tiers et le mécanisme de transfert utilisé. En présence de clauses contractuelles types, il faut examiner leurs annexes, l'analyse d'impact du transfert et les mesures supplémentaires appliquées. Le fait que le prestataire soit établi dans l'Union européenne n'exclut pas qu'il reçoive un support technique depuis l'extérieur de celle-ci.

Droits des personnes concernées

Il convient de tester un cas réel de bout en bout, en vérifiant la capacité du prestataire à :

La promesse contractuelle doit fonctionner techniquement, y compris lorsque des sauvegardes entrent en jeu.

Violations de données

Le prestataire doit notifier toute violation de sécurité sans délai indu, en laissant au responsable suffisamment de temps pour évaluer ses propres obligations de notification. La procédure doit définir le canal de contact, le contenu de la notification, les mises à jour ultérieures et les preuves conservées.

Il convient de simuler la perte d'un identifiant ou une exposition de données et de vérifier comment le prestataire fait remonter l'incident.

Conservation et suppression

Il convient de distinguer les données actives, les sauvegardes, les journaux et les archives historiques. À la fin de la relation avec le prestataire, les éléments suivants doivent être garantis :

Le blocage de la sortie pour factures impayées du prestataire ne justifie pas la conservation des données du client sans base légale.

Droit d'audit

Le droit d'audit peut s'exercer par questionnaire, examen des preuves, rapport d'un tiers indépendant, entretien, test technique ou visite sur site. Il s'adapte au risque du traitement et doit protéger la sécurité de l'information.

Le prestataire ne peut bloquer toute possibilité d'audit en invoquant la confidentialité, même s'il peut convenir de conditions raisonnables pour le réaliser.

Notation

Une façon d'organiser l'examen consiste à pondérer chaque domaine selon son poids dans le risque global :

DomainePoids
Rôles et contrat15
Sécurité25
Sous-traitants ultérieurs15
Transferts15
Droits et conservation10
Incidents10
Continuité et sortie10

Les défaillances critiques sont éliminatoires, même si la note moyenne du prestataire est élevée.

Suivi

L'audit ne s'arrête pas au rapport. Il convient de rouvrir l'examen face à certains déclencheurs :

Chaque déclencheur doit consigner l'action à mener, le responsable et le délai.

Plan d'audit

Semaine 1

Définition du périmètre, du rôle du prestataire et du niveau de risque.

Semaine 2

Examen du contrat, des sous-traitants ultérieurs et des transferts internationaux.

Semaine 3

Examen de la sécurité, de la continuité et tests techniques.

Semaine 4

Rédaction du rapport, plan d'action et décision concernant le prestataire.

Erreurs fréquentes

  1. Se fier à la marque ou à la réputation du prestataire sans vérifier les preuves.
  2. Classer le risque uniquement selon ce que dit le contrat.
  3. Ne pas connaître l'identité des sous-traitants ultérieurs.
  4. Accepter des certificats de sécurité sans en vérifier le périmètre.
  5. Ne pas examiner les transferts internationaux de données.
  6. Ne pas réellement tester l'exercice des droits des personnes concernées.
  7. Accepter un délai de notification des violations insuffisant.
  8. Ne pas planifier la sortie ou le changement de prestataire.
  9. Auditer le prestataire une seule fois sans jamais recommencer.
  10. Ne pas clôturer le suivi des actions identifiées.

Checklist

Questions fréquentes

Faut-il auditer tous les prestataires de la même façon ?

Non. L'intensité de l'audit doit être proportionnée au risque, mais tous les prestataires doivent offrir des garanties suffisantes.

La certification ISO 27001 du prestataire suffit-elle ?

Non. Elle aide, mais il faut vérifier son périmètre et si elle couvre réellement les exigences de protection des données du traitement.

Le responsable doit-il connaître tous les sous-traitants ultérieurs ?

Le Comité européen de la protection des données (CEPD) souligne que le responsable doit disposer d'informations sur l'identité de toute la chaîne de sous-traitants ultérieurs afin de pouvoir respecter ses propres obligations.

Peut-on auditer un grand prestataire de services cloud ?

Oui, en combinant rapports de tiers, certifications, examen du contrat, preuves documentaires et conditions raisonnables pour exercer le droit d'audit.

Sources consultées

Summum Consultoría peut aider à prioriser, auditer et suivre les prestataires qui traitent des données à caractère personnel, dans le cadre de l'accompagnement en tant que DPO externe et de la gouvernance des données de l'entreprise.