L’équivalente de la CNIL Britanique, l’ICO, a l’intention d’infliger une amende de 183 Millions de Livres Sterling à British Airways pour avoir négligé la sécurité informatique des données personnelles des utilisateurs de son site web. En effet en septembre 2018, la compagnie signale que depuis juin 2018 le trafic de son site web est détourné vers un site web frauduleux récupérant les données d’environs 500 000 utilisateurs, y compris les identifiants, cartes de paiement et les détails de réservation aussi bien que les noms et adresses. L’enquête a révélé des négligences graves de la part de BT Airways.
Prêt pour le Brexit ?
Vous sous-traitez une partie de vos services informatiques ou simplement utilisez un service Cloud hébergé en Grande Bretagne ? Sachez que les termes du Brexit sont en cours de négociation mais que rien ne change jusqu’au 31 Décembre 2020. Pour ce qui est de la conformité au Règlement Général sur la Protection des Données, soit l’Union Européenne décidera d’une équivalence avec la Grande Bretagne, soit il faudra en passer par un encadrement de type clauses contractuelles spécifiques ou des mécanismes de certifications voire, au sein d’un groupe multinationale, des « Binding Corporate Rules ». Préparez-vous, just in case….
La Responsabilité des Sous-Traitants face au RGPD
Le RGPD a en changé la donne quant aux obligations du sous-traitant et a renforcé son niveau de responsabilité.
On peut regrouper ces obligations en 4 grandes catégories :
- la transparence et la traçabilité des traitements (via les clauses contractuelles spécifiques, le registre des traitements, la désignation d’un DPO etc…) ;
- la prise en compte des principes de protection des données (licéité et minimisation de la collecte, durée de rétention, etc….) ;
- l’obligation de garantir la sécurité et la confidentialité des données (politique de sécurité documentée, audits et tests d’intrusion récurrents, segmentation du réseau avec droits d’accès restrictifs, registre des incidents, etc…) ;
- l’obligation d’assistance, de conseil et d’alerte. L’assistance se traduit par des actions à mener par le prestataire en cas d’exercice du droit des personnes (droit d’accès, modification, suppression ou limitation), de contrôle de la CNIL ou d’audit du client.
Pour remplir ses obligations, le sous-traitant en sécurité informatique doit ainsi maitriser les grands principes du RGPD afin de conseiller son client. Il faudra par exemple rappeler à ce dernier l’obligation d’informer ses salariés de la finalité du traitement de données personnelles et de leurs droits par une charte informatique. D’autre part, avant de mettre en place une solution de type « Data Leak Prevention » ou de filtrage Web, le responsable de traitement doit effectuer une Etude d’Impact sur la Vie Privée (« EIVP » ou en anglais « PIA »). Il s’agit d’une étude des risques vis-à-vis des données personnelles. En cas de risque important, le client devra en informer la CNIL et attendre son retour avant de mettre en place la solution décalant d’autant le déploiement par le prestataire. Une formation des forces de vente et des équipes techniques de celui-ci est dont indispensable. Enfin, « le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance » (Article 33 du RGPD), le responsable de traitement doit à partir de ce moment-là notifier la CNIL sous 72 heures. Le sous-traitant doit donc tenir un registre des incidents afin de se protéger et prouver qu’il a notifié le client dès qu’il a pris connaissance de la violation.
En mettant en place et gérant à distance des solutions de Cybersurveillance, les SSII en sécurité traitent forcément des données personnelles voire des données sensibles au sens du RGPD (opinions politiques, religieuses ou orientations sexuelles). Ces prestataires sont donc directement concernés par la réglementation européenne. Se pose alors la question de savoir qui porte la responsabilité ou, autrement dit, qui décide des finalités et des moyens concernant le traitement de données personnelles ? Dans certains cas précisés par la CNIL, le sous-traitant pourra être requalifié de responsable ou co-responsable de traitement notamment selon l’expertise et l’autonomie laissées au sous-traitant, d’où l’importance de bien préciser les responsabilités dans des clauses contractuelles spécifiques.
Quels sont les autres risques pour le sous-traitant en cas de manquement à ces obligations ? Ils sont de 3 ordres : d’image, administratifs et judiciaires.
- Ce qui est nouveau avec l’application du RGPD, c’est la possibilité pour l’autorité locale d’appliquer des sanctions au responsable de traitement mais aussi au sous-traitant. Ainsi, tout comme le client final, le prestataire sous-traitant pourrait être sanctionné par la CNIL par un avertissement public qui nuirait à l’image et à la réputation de celui-ci, mais aussi par une amende pouvant aller jusqu’à 10 millions d’euros ou 10 % du C.A. mondial de l’exercice précédent.
- En sus, un juge peut condamner un responsable de traitement ou un co-responsable de traitement (ou son responsable légal s’il s’agit d’une personne morale) à de la prison ferme (5 ans) et une amende allant jusqu’à 300 000 Euros.
- Enfin, il y a un risque de droit civil pour demande en réparation. Une condamnation civile peut donner lieu à une nullité du contrat de vente et donc un remboursement du client (Cf. arrêt de la Cours de cassation du 25/06/2013). Dans tous les cas, cela peut s’avérer critique pour la survie du sous-traitant concerné.
En résumé, les sous-traitants ont tout intérêt à mettre en haut de leurs priorités leur conformité au RGPD ainsi que la formation de leurs équipes techniques et commerciales avant de se retrouver pris à défaut. Car ceci pourrait mettre en péril leur business en ruinant leur image, sans parler des sanctions financières. En se mettant en conformité, ils ne feraient que renforcer leurs propositions de valeurs et leurs images de professionnels de la sécurité tout en réalisant un checkup complet de leurs procédures.