Comment se préparer à la vague d’audits de conformité RGPD prévue pour 2021 ?

Comment se préparer à la vague d’audits de conformité RGPD prévue pour 2021 ?

Par Stéphane Astier

Un peu plus de deux ans après l’entrée en vigueur du RGPD, il est constaté une recrudescence des audits de conformité visant la bonne application de ce texte et plus particulièrement le respect des engagements de sécurité au sein des relations entre responsable de traitement et sous-traitants.

Toutes sortes de situations sont rencontrées : contrôles automatiques avec questionnaires à remplir adressés via le Délégué à la protection des données (DPO) à l’ensemble de la base fournisseurs, audit sur site pour identifier une carence dans les mesures de sécurité suite à une faille détectée, mise sous pression du sous-traitant en vue d’organiser une sortie anticipée des relations,….

Or ce mouvement tend à s’amplifier et devrait trouver son point culminant en 2021 pour trois principales raisons :

 

Première raison : la crise financière qui devrait suivre la crise sanitaire conduira à tendre les relations fournisseurs. Beaucoup de responsables de traitement pourraient être tentés d’utiliser une non-conformité RGPD afin de faciliter une sortie des relations ou une renégociation globale dans une logique de limitation des coûts.

Deuxième raison : 2021 annonce la fin du moratoire de la CNIL pour la réalisation des analyses d’impact devant être diligentées pour tous les traitements à risques conformément à l’article 35 du RGPD. Or, les sous-traitants fournisseurs de solution sont les premiers concernés par cette procédure pour laquelle il doivent prêter assistance au responsable de traitement, le conseiller et lui fournir toute la documentation nécessaire. Il est à ce titre fort probable que cet échange d’informations donne lieu à un audit poussé de la documentation du sous-traitant, notamment s’agissant des procédures de sécurité.

Troisième raison :  Même si beaucoup de structures sont encore en retard, de nombreux acteurs ont procédé à la cartographie de leur traitement, à la formalisation de leur registre et à la définition d’un plan de conformité. L’activité des DPO va naturellement s’orienter sur la mise à jour de cet existant mais également sur le contrôle des zones principales de risque. En pleine transition digitale, souvent accélérées par la crise sanitaire, bon nombre de Directions externalisent une partie de leur activité via des applications et logiciels SaaS de tout genre et de toutes origines. Il faudra auditer ces prestataires afin de vérifier la réalité des garanties promises dans leurs conditions contractuelles. Et parfois, force est de constater qu’il s’agit d’un vrai casse-tête. Ainsi, depuis l’invalidation du Privacy Shield en juillet dernier la CNIL rappelle qu’il appartient aux responsables de traitement de contrôler l’effectivité des garanties en terme de sécurité et qu’en cas de transfert de données vers les Etats Unis, la signature de clauses contractuelle type ne suffit pas à assurer la conformité du traitement. Des audits seront nécessaires mais comment auditer un AWS ou un Google ? Peut-on simplement s’en remettre à leur seule documentation ?    

Que l’on soit responsable de traitement ou sous-traitant, cette logique d’audit doit être appréhendée, anticipée et menée à bien dans des contextes parfois difficiles.

L’occasion de revenir sur quelques points clés utiles à connaître :

1. Les fondements de l’audit de conformité RGPD

Dans sous Guide du sous-traitant publié depuis septembre 2017, la CNIL rappelait l’obligation de prévoir dans les accords sur la protection des données liant un responsable de traitement à son sous-traitant une clause d’audit de conformité RGPD.

Cette obligation résulte directement de l’article 28 du RGPD, qui prévoit que lorsqu’une entreprise intervient en qualité de sous-traitant dans la mise en œuvre d’un traitement de données personnelles, ce fournisseur de services doit offrir à son client « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

Chaque sous-traitant doit notamment assister et conseiller ses clients responsables de traitement dans leur conformité à certaines obligations prévues par le règlement et notamment à la réalisation d’analyses d’impact, aux opérations de notification de violation, aux questions de sécurité, aux modalités destruction des données, ou encore à la contribution aux audits réalisés)

Parallèlement, chaque responsable de traitement, dans une logique d’accountability impliquant une obligation de documentation renforcée, se doit de vérifier que les garanties apportées par ses sous-traitants en matière de sécurisation des données sont bien effectives et qu’elles perdurent pendant la totalité de leur relation.

Il existe en effet une responsabilité globale en matière de sécurité, rappelée clairement à l’article 32 du RGPD : « (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…) »   

2. Comment se préparer à l'audit de conformité RGPD ?

Que l’on soit responsable de traitement ou sous-traitant, l’audit de conformité RGPD a vocation à constituer un aspect incontournable de la relation.

Il est possible à ce titre de dégager plusieurs axes de réflexions utiles que ce soit au niveau de l’anticipation d’une opération d’audit ou au niveau de l’encadrement de cette opération.

A. Anticiper les audits de conformité RGPD

- Côté Responsable de traitement :

A partir de la cartographie applicative et du registre d’activité des traitements, le Responsable de traitement et son DPO auront la possibilité de dresser la liste des sous-traitants à qui est confiée la mise en œuvre de certaines opérations touchant des données à caractère personnel. Chaque fiche de traitement devant répertorier les mesures organisationnelles et techniques associées, il s’agira alors de comparer ces mesures avec les garanties contractuelles proposées au sein de la convention de service passée avec chaque sous-traitant concerné.

L’envoi de questionnaires préalablement à l’audit, par exemple afin de s’assurer du renouvellement effectif de certification (ex. ISO 27001) ou encore pour obtenir les derniers résultats d’un audit de sécurité (pentest), constitue une pratique intéressante à utiliser en amont d’un audit. Pour les plus gros acteurs, il faudra souvent s’en remettre à la documentation publiée sans que cette solution ne soit acceptable d’un point de la conformité du traitement eu égard aux dernières prises de positions de la CNIL à la suite de l’invalidation du Privacy Shield

D’une manière générale, il appartient au Responsable de traitement de veiller à imposer à son sous-traitant la mise en œuvre de règles de sécurité proportionnée à la criticité des traitements et à documenter ces règles au sein d’un accord sur la protection des données. C’est dans la mise en œuvre effective de cette obligation que les choses se compliquent compte tenu des différentes catégories de sous-traitants.

- Côté sous-traitant :

Anticiper les besoins du client en terme d’accountability est non seulement une nécessité mais également un axe pertinent de différenciation concurrentielle.

Chaque fournisseur de solutions ou de services destinés à traiter des données personnel pour le compte de clients responsables de traitement aura ainsi intérêt à :

  • Formaliser un Plan Assurance Sécurité répertoriant l’ensemble de ses procédures interne de sécurité.
  • Pré rédiger une analyse d’impact lorsque les traitements proposés sont les mêmes pour l’ensemble des clients incluant un volet juridique d’analyse de conformité et un volet technique (rapport de sécurité suite à pentest). Ainsi, même si la réalisation des analyses d’impact est une obligation du responsable de traitement, le sous-traitant qui anticipe ce besoin pourra pleinement remplir son rôle de collaboration active en mutualisant cette opération pour l’ensemble de son portefeuille client
  • Systématiquement inviter le client à formaliser ses instructions concernant le traitement de données qu’il se voit confier afin d’avoir une visibilité sur la criticité du traitement ou les obligations susceptibles d’être induites par celui-ci (par exemple s’agissent de l’hébergement des données de santé)

Bien entendu, ces éléments auront vocation à être mis en avant au sein du contrat de service et plus particulièrement de l’accord sur la protection des données qu’il convient de formaliser en application du paragraphe 3 de l’article 28 du RGPD : « le traitement par un sous-traitant est régi par un contrat (…) » devant notamment prévoir une faculté d’audit afin de mettre « à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations (…) »    

B. Un encadrement de l’audit au sein de l’accord sur la protection des données

- Côté Responsable de traitement :

Le Responsable de traitement devra veiller à pouvoir auditer en profondeur les procédures du sous-traitant et disposer de toute la documentation nécessaire pour justifier de l’adéquation de ces mesures avec la criticité des traitements dont il a confié la mise en œuvre.

La question des coûts de cet audit doit être traitées notamment lorsque l’expert indépendant désigné par le Responsable de traitement identifie des carences. Le délai de remédiation et les conséquences contractuelles d’une non remédiation dans le délai convenu devront être expressément prévu pour permettre au responsable de traitement de s’assurer de la régularisation de la situation.

Le responsable de traitement devra également s’assurer de la pleine coopération des équipes du sous-traitant avec l’auditeur que ce soit au niveau des accès qui lui seront donnés ou tout simplement de la planification de sa mission d’audit.

- Côté sous-traitant :

Les dangers associés à des audits sauvages non encadrés juridiquement sont très nombreux pour les sous-traitants. Organiser contractuellement l’audit sans que cette organisation ne remette en cause l’effectivité de ce droit constitue un élément clé.

Tout d’abord l’audit ne doit pas conduire à une désorganisation de l’activité du sous-traitant. Il est ainsi recommandé d’en limiter le nombre sur une période contractuelle donnée avec une planification supposant un préavis raisonnable pour une meilleure organisation.

Ensuite l’opération d’audit ne doit pas conduire à du détournement de savoir-faire ce qui doit conduire le sous-traitant à empêcher qu’un concurrent soit diligenté par le responsable de traitement pour l’auditer. Dans tous les cas, un engagement strict de confidentialité devra être régularisé par l’auditeur désigné.

Enfin, l’audit doit être techniquement encadré afin que celui-ci ne soit pas à l’origine d’une faille ou de dysfonctionnement pouvant impacter d’autres clients du service. Des garanties devront être prévues à ce titre au contrat.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin