Avec l’utilisateur lui-même (le récent enchainement des violations de données chez de grandes enseignes tient essentiellement à la réutilisation d’un mot de passe compromis), la chaîne de soustraitance est l’un des canaux les plus empruntés pour mener une cyber attaque.
Comment s’en prémunir? Analyse de risques, vérifications des « garanties essentielles » et audit sont les mesures phares, évidemment. Mais insuffisantes, en droit comme en pratique. Dans sa fiche « Impliquer et former les utilisateurs », la CNIL exige ainsi du responsable de traitement qu’il veille à ce que le personnel de ses sous-traitants soient sensibilisés. Cela conditionne aussi bien la sécurité que le respect des principes de protection des données par défaut / dès la conception. En effet, dans un cas comme dans l’autre, une maitrise lacunaire du RGPD fragilise le traitement de données, comme le rappelait l’an passé l’APD finlandaise (Tietosuojavaltuutetun toimisto, 22 décembre 2023, n° TSV/35/2022).
La problématique pratique est la suivante : la vérification des aspects logiques est désormais standard. Mais la focalisation sur ceux d’ordre organisationnel est souvent perçue comme une ingérence dans les activités internes. S’ensuivent des échanges plus ou moins houleux.
Ils tendent à dégénérer en un sévère accrochage en présence d’un transfert à un destinataire ou un co-responsable. Ici, les acteurs étant sur un même plan horizontal, ils s’arcboutent sur leur indépendance pour refuser toute vérification. Sauf que…
A travers toute l’Europe, transcendant le clivage APD / juridictions, un courant monte pour imposer des vérification de conformité et de sécurité avant tout envoi à un destinataire (AEPD, 3 octobre 2024, n° EXP202203580 ; TJ Paris, 30 novembre 2022, RG 21/53000 ; CNIL, Délibération n° 2022-067 du 2 juin 2022 ; APD belge, 13 juillet 2023, n° 99/2023 ; Persónuvernd, 4 juillet 2023, n° 2022111927).
Position rationnelle, dès lors que l’objectif est d’assurer un « continuum de sécurité » pour les données.
Mais la mise en pratique reste délicate, je vous le concède.
Avez-vous eu à gérer de telles situations? Des approches différentes, pour limiter la friction? Partagez-les en commentaires.
Des négociations difficiles avec un sous-traitant ou destinataire de données ? Besoin de vérifier ou de consolider vos contrats RGPD ? N’hésitez pas à me contacter.