Le saviez-vous ? 80 % des entreprises sous-estiment les risques liés à leurs sous-traitants. Comme l’indique la CCI Occitanie en 2020, 60 % des PME & PMI impactées par les cyberattaques mettaient la clé sous la porte à court terme. La réputation est également prise en otage : Parmi les entreprises qui ont subi une cyberattaque lors des 12 derniers mois, 47% mentionnent davantage de difficultés pour attirer de nouveaux clients et 43% affirment même avoir perdu des clients.
Un audit préalable à la mise en place d’un nouveau contrat, permet de détecter rapidement le niveau de conformité du sous-traitant et doit permettre à l’entreprise de prendre ses décisions en matière de contractualisation, en connaissance de cause.
Vos sous-traitants sont-ils vraiment conformes au RGPD ?
Qu’est-ce qu’un sous-traitant conforme au RGPD ?
Un sous-traitant, dans une démarche de conformité au RGPD, est celui qui offre un niveau de garantie suffisant au regard des traitements qui vont lui être confiés. Par garantie, il est entendu des mesures de sécurité techniques et organisationnelles adaptées au contexte/niveau des risques.
Un simple oubli ou manquement dans la sécurisation des données chez votre sous-traitant et c’est tout le système d’information de votre entreprise qui est exposé : fuite de données stratégiques voire sensibles, perte de confiance de vos clients, atteinte à l’image de marque de votre entreprise, sanctions financières pouvant atteindre 4 % de votre chiffre d’affaires… Mais comment vous assurer que vos sous-traitants respectent réellement les exigences du RGPD ?
L’audit de conformité et plus particulièrement un audit du contrat et des mesures de sécurité proposées à la première étape de contractualisation est le plus pertinent. Plus qu’une formalité, c’est une démarche indispensable et stratégique qui vous permettra d’avoir une vision plus ou moins claire sur la future relation.
Les enjeux d’un audit de conformité RGPD & CYBERSECURITE
1. Formalisation des relations contractuelles
Le RGPD impose aux entreprises et administrations de formaliser leurs relations contractuelles avec leurs sous-traitants, partenaires et prestataires via un acte juridique contraignant, tel qu’un contrat ou des annexes de traitements de données qui définissent les rôles et responsabilités de chacune des parties prenantes au contrat et le cas échéant des parties ultérieures. Également, il est fortement recommandé d’inclure au contrat une clause d’audit et de faire en sorte que cette dernière soit appliquée.
2. Evaluation des sous-traitants
Un sous-traitant fiable est un sous-traitant qui apporte des mesures techniques et organisationnelles robustes au regard des traitements qui vont lui être confiés. Afin de juger de la pertinence des mesures déployées, nous conseillons fortement de mettre en place un questionnaire auquel le prestataire devra répondre. Une fois ce dernier complété, il appartient à la DSI et toutes les autres parties prenantes (ex : DPO, RSSI, service juridique) de juger de la pertinence des réponses apportées et des documents produits à l’appui.
3. Amélioration continue de la sous-traitance
Les entreprises oublient souvent qu’une partie de leur système d’information repose sur des tiers qui peuvent indirectement nuire à leur réputation et à leur image de marque en cas d’incident ou cyberattaque. Dans un monde de plus en plus connecté, et en perpétuelle consommation de nouvelles technologies, la conformité RGPD devient un argument commercial puissant et rassurant. Pour preuve, 75% des consommateurs se disent prêts à quitter une entreprise en cas de mauvaise gestion de leurs données.
Dans les contrats signés avec les sous-traitants, il est important d’inclure une clause d’audit qui donne systématiquement lieu à un rapport d’audit que les parties se communiqueront et analyseront les cas échéant ensemble. Cette clause d’audit doit permettre à l’entreprise de résilier son contrat de plein droit dans le cas où le rapport d’audit révèle des défaillances du côté du sous-traitant auxquelles celui-ci ne peut pas remédier dans un délai raisonnable.
Les principaux critères d’audit des sous-traitants
Les questionnaires d’évaluation auxquels sont susceptibles de répondre les sous-traitants doivent inclure des questions relatives à :
- La politique de sécurité & protection des données mise en place au sein de l’organisation du sous-traitant,
- Les rôles et responsabilités des acteurs,
- La sécurité des tiers auxquels pourrait faire appel l’autre partie y compris la contractualisation,
- La classification et contrôle des actifs,
- La protection des données,
- La gestion des incidents de sécurité et violations,
- La sécurité et le personnel.
Cette liste de points d’évaluation n’est nullement exhaustive. Chaque entreprise ayant son organisation, les questionnaires doivent être adaptés à la criticité des missions qui sont confiées aux sous-traitants.
Sécurité physique et logique des données : une priorité absolue
- Contrôle de la sécurité des locaux et du Système d’information
- Contrôle des mécanismes d’authentification et de gestion des accès.
- Journalisation des accès.
- …
Stockage et transferts : où vont vos données ?
- Localisation des données : hébergement dans l’UE ou en dehors de l’UE ?
- Existence de clauses contractuelles types (CCT) ou d’autres mécanismes validés par les autorités de contrôle ou le Comité Européen de la Protection des Données (CEPD).
- Examen des protocoles de sauvegarde et de restauration en cas d’incident.
Disponibilités des données : quid en cas d’interruption de l’activité ?
A ce jour, les entreprises négligent encore le risque de disparition des données et l’impact qu’il peut avoir sur leur activité. Au-delà des sauvegardes de données, une entreprise doit s’assurer que ses outils clés disposent bien d’un Plan de Continuité d’Activité opérationnel et régulièrement testé au risque dans l’hypothèse inverse de ne pas savoir réagir rapidement et efficacement en cas d’incident.
Faire confiance à un sous-traitant, c’est aussi lui confier la protection de vos données.
Nouvel Horizon Conseil vous accompagne pour garantir une conformité sans faille. Vous souhaitez sécuriser votre environnement numérique ?
Contactez nos DPO externes dès maintenant
Études de cas et retours d’expérience
Un audit bien mené permet d’anticiper les risques et d’éviter des sanctions, comme en témoigne ces cas pratiques.
Cas 1 : Un sous-traitant non conforme identifié avant une violation
Contexte : Une entreprise d’e-commerce confie sa gestion des paiements à un prestataire.
Problème : L’audit a révélé que les transactions n’étaient pas conformes aux standards PCI-DSS.
Résultat : Changement de prestataire, évitant ainsi une potentielle amende de l’autorité de contrôle.
Cas 2 : Un plan d’action correctif après un audit négatif
Contexte : Un cabinet médical confie l’hébergement de ses dossiers patients à un prestataire.
Problème : L’audit a mis en lumière un stockage de données en dehors de l’UE sans garanties adéquates.
Résultat : Implémentation rapide de clauses contractuelles types et migration vers un hébergeur certifié HDS.
Questions fréquentes sur l’audit des sous-traitants
À quelle fréquence auditer un sous-traitant ?
Il est recommandé d’effectuer un audit annuel, mais cette fréquence dépend de plusieurs facteurs, telles que la sensibilité des données, la vulnérabilité des personnes qu’elles concernent… Par exemple, un prestataire IT accédant à des données hautement stratégiques peut nécessiter un suivi semestriel.
Qui doit réaliser l’audit ?
L’audit doit être déclenché par l’entreprise peut être mené en interne par un DPO ou un RSSI, ou être confié à un cabinet de conseil spécialisé pour une expertise approfondie et une impartialité garantie.
Un sous-traitant peut-il refuser un audit ?
Oui, un sous-traitant peut refuser un audit mais cela doit immédiatement alerter l’entreprise car dans la plupart des cas cela signifie que le sous-traitant n’a rien mis en place ou estime que les mesures qu’il a mis en place peuvent être jugées insuffisantes par le responsable de traitement et ne souhaite pas que cela se sache. Il appartient toutefois au sous-traitant de monnayer ses audits si son refus est uniquement lié au temps et ressources qu’il doit y consacrer…
Faut-il privilégier des sous-traitants avec des certifications ?
Oui, les certifications tels que ISO 27001, Hébergeur de données de santé (HDS) ou SOC 2 peuvent être un critère de sélection dans la mesure où elles garantissent une sécurité avancée, mais elles ne dispensent pas d’un audit spécifique.
Vous souhaitez être accompagné dans cette démarche ?
Contactez Nouvel Horizon Conseil pour un audit RGPD sur-mesure et une mise en conformité efficace de vos sous-traitants.
