Encadrer la sécurité des données avec les sous-traitants.
Les données communiquées à ou gérées par des sous-traitants doivent bénéficier de garanties suffisantes.

Les précautions élémentaires

Faire appel uniquement à des sous-traitants présentant des garanties suffisantes (notamment en termes de connaissances spécialisées, de fiabilité et de ressources). Exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information.

Prendre et documenter les moyens (audits de sécurité, visite des installations, etc.) permettant d’assurer l’effectivité des garanties offertes par le sous-traitant en matière de protection des données. Ces garanties incluent notamment :

  • le chiffrement des données selon leur sensibilité ou à défaut l’existence de procédures garantissant que la société de prestation n’a pas accès aux données qui lui sont confiées ;
  • le chiffrement des transmissions de données (ex : connexion de type HTTPS, VPN, etc.) ;
  • des garanties en matière de protection du réseau, de traçabilité (journaux, audits), de gestion des habilitations, d’authentification, etc.

Prévoir un contrat avec les sous-traitants, qui définit notamment l’objet, la durée, la finalité du traitement et les obligations des parties. S’assurer qu’il contient en particulier des dispositions fixant :

  • leur obligation en matière de confidentialité des données personnelles confiées ;
  • des contraintes minimales en matière d’authentification des utilisateurs ;
  • les conditions de restitution et/ou de destruction des données en fin du contrat ;
  • les règles de gestion et de notification des incidents. Celles-ci devraient comprendre une information du responsable de traitement en cas de découverte de faille de sécurité ou d’incident de sécurité et cela dans les plus brefs délais lorsqu’il s’agit d’une violation de données à caractère personnel.

Ce qu’il ne faut pas faire

  • Entamer la prestation de sous-traitance sans avoir signé un contrat avec le prestataire reprenant les exigences posées par l’article 28 du Règlement général sur la protection des donné
  • Avoir recours à des services de cloud sans garantie quant à la localisation géographique effective des données et sans s’assurer des conditions légales et des éventuelles formalités auprès de la CNIL pour les transferts de données en dehors de l’Union européenne.

Pour aller plus loin

  • Consulter l’article 28 du règlement général sur la protection des donné
  • Concernant le cloud computing, la CNIL a publié des recommandations ainsi que des propositions de clauses pour les contrats : Cf RGPD-Annexe15.pdf
  • Concernant les données de santé, un hébergeur doit disposer d’un agrément délivré par le ministère de la Santé. À noter qu’une procédure de certification remplacera progressivement l’agrément des hébergeurs.