L’arrivée de la GDPR (General Data Protection Regulation) est synonyme de nouvelles responsabilités dans le chef des sous-traitants. “Par le passé”, indique Philippe Laurent, avocat au cabinet MVVP, “ses obligations se limitaient à celles que lui imposait le responsable de traitement. Désormais, il endosse, en direct, des obligations qui lui sont propres. Il lui incombe par exemple de tenir un registre des traitements, de coopérer avec l’autorité de contrôle… Il doit être plus attentif avec ce que ses clients font de leurs données.”

Il est dès lors conseillé, à toute entreprise, de revoir ses contrats ou en tout cas de réanalyser leurs termes. Et cela est vrai pour divers types de relations et de transactions avec des tiers.

D’une manière générale, “toute négociation de contrat avec un tiers devrait inclure la dimension de la gestion des données à caractère personnel”, indiquait Fabrice Clément, responsable de la sécurité des systèmes d’information de Proximus, à l’occasion d’un récent atelier de la FEB qui avait choisi le thème de l’impact de la GDPR. “Il s’agit de vérifier si le partenaire, actuel ou futur, met en oeuvre une politique de gestion de données intégrée et applique bien les règles nécessaires.”

Quels conseils donner en matière de réexamen, voire de renégociation de contrats – tant avec des prestataires et fournisseurs qu’avec des partenaires commerciaux? Voici ce qu’en dit Frédéric Gelissen, consultant indépendant:

“Premier conseil générique: un contrat doit idéalement se revoir chaque année. C’est une bonne pratique. Les services, besoins et exigences évoluent avec le temps. Peu d’entreprise osent rediscuter des contrats longue durée en cours (charge administrative, réticence du fournisseur). Les fournisseurs et partenaires doivent être informés de la volonté de la PME de faire une révision de contrat annuelle. Il ne s’agit pas de terminer un contrat de 3 ans mais de l’adapter au contexte pour le bien de toutes les parties.

La GDPR touche tout le monde. Les fournisseurs et prestataires, tout autant que l’entreprise, sont concernés.

N’oublions pas que toute fourniture de services ou de produits est une chaîne de valeur dans laquelle interviennent une multitude d’acteurs. Il faut dès lors adopter une attitude collaborative. L’objectif est de protéger les services fournis aux clients (cela inclut la gestion des données privées) au travers d’une relation commerciale consciente des implications de la GDPR. Les partenaires, fournisseurs et prestataires mettront en œuvre contractuellement les mesures qui protègeront “l’écosystème d’affaires” et donc leurs entreprises. Tout le monde y gagnera.

Attention: la révision contractuelle n’est qu’une étape. Un plan de mise en œuvre devra exister et être piloté avec les divers acteurs. Il faudra du concret.

Les fournisseurs ou partenaires réfractaires, ou qui ne mettent pas en œuvre les mesures nécessaires, devront être identifiés et les manquements documentés. Ceci aidera à définir les responsabilités en cas de poursuite.

Il ne faut pas négliger l’aspect financier de la démarche. Mettre en place de nouvelles mesures engendrera des coûts supplémentaires. Certains fournisseurs pourraient en abuser. Un conseil dès lors: comparer avec d’autres fournisseurs lorsque c’est possible.”

Contrat et responsabilités en cascade

On l’a mentionné plus haut: le scénario de responsabilités adopte un schéma en cascade. La société signe son contrat avec le prestataire principal qui, de son côté, doit s’assurer que tous les partenaires et sous-traitants agissent en conformité avec les règles GDPR.

La liste des contraintes et des obligations GDPR doit être claire pour tous, à tous les maillons de la chaîne.

“Dès le stade de la rédaction du contrat, il faut exiger qu’une évaluation d’aptitude à gérer correctement les données de type privé soit faite de chaque fournisseur et sous-traitant. C’est une exigence essentielle”, souligne Frédéric Gelissen. A défaut d’exercice PIA (étude d’impact sur la vie privée), on pourra considérer que certaines certifications décrochées par les prestataires (par exemple, la certification ISO 27001) sont le garant que la société concernée répond bien aux exigences GDPR. “Cette certification ISO est en effet le signe qu’elle est bien organisée, qu’elle dispose d’un responsable sécurité et d’une politique de sécurité.”

Une bonne chose, quel que soit le contexte

“C’est de toute façon une bonne pratique que de revoir ses contrats dans la mesure où la DGPR demande un certain nombre de choses qui n’existaient pas jusqu’ici”, déclare Laurie-Anne Bourdain, consultante spécialisée en cyber-sécurité chez EY (Ernst & Young).

Elle se livre à une petite énumération:

• l’identité du responsable de traitement (“data controller”) et du sous-traitant (“data processor”): “si le rôle de chacun n’est pas clairement établi, le sous-traitant pourrait être considéré comme le responsable du traitement, avec tout ce que cela implique comme responsabilités supplémentaires”
• la nature des traitements qui sont couverts par le contrat: “si le sous-traitant effectue des traitements qui n’étaient pas prévus dans le contrat, il pourrait être considéré comme le responsable du traitement”
• il faut inclure le droit à l’audit: le controller / responsable de traitement doit se réserver le droit d’auditer le processor / sous-traitant, pour valider les mesures de sécurité, pour vérifier que les traitements sont bien faits selon le périmètre prévu dans le contrat
• le responsable du traitement doit fournir des instructions précises au sous-traitant au sujet de ce qu’il peut faire ou non avec les données.

A cet égard, le responsable de traitement a tout intérêt à se montrer précis, et à “préciser les mesures que le sous-traitant devra mettre en oeuvre pour protéger ses données”, insiste Antoine Declève, avocat associé au cabinet Célès. “Tous les contrats existants doivent donc être révisés dans ce sens afin d’être mis en conformité avant l’échéance de mai 2018.”

SaaS et cloud

Lors d’un atelier de la FEB consacré à la GDPR, David Daems, directeur Managed Cyber Security chez Reliance ACSN, déclarait: “peu de prestataires SaaS sont en mesure de prévenir leurs clients d’un incident de sécurité qui met en danger ou provoque un vol de données, dans les délais impartis par la nouvelle réglementation. Il est donc impératif que, dès à présent, les sociétés qui font appel à des services cloud et à des solutions SaaS exigent de leur prestataire la preuve que des processus adéquats ont bel et bien été mis en place.”

La responsabilité finale en cas d’incident incombera toujours à la société qui est “propriétaire” des données. Même si le “hic” se trouve du côté de son prestataire. Un conseil, dès lors de Marie Del Marmol, directrice de la filiale belge d’Insight, société spécialisée dans les services IT (solutions de productivité, sécurité, gestion de licences…): “faites attention aux “trous” dans la chaîne de sécurité” – qu’il s’agisse d’une lacune en matière de logiciels implémentés en interne ou d’une faiblesse ou incurie du prestataire de service.

“Si le prestataire d’hébergement est un opérateur de cloud public, la sécurité du cloud relève du principe back to back mais c’est le client qui endosse la responsabilité de sécuriser le bout de chemin qui le relie au cloud public.

A cet égard, l’un des dangers se situe dans le fait que de plus en plus de personnes travaillent en mode mobile. Si l’environnement mobile n’est pas sécurisé, il devient un cheval de Troie pour les hackers. D’où l’importance d’avoir une vision globale et cohérente de la chaîne de sécurité.” Et de s’assurer que toutes les solutions ponctuelles s’intègrent efficacement les unes aux autres.

Laurie-Anne Bourdain établit une distinction entre, d’une part, des contrats d’externalisation (outsourcing) classiques, “où le traitement des données est confié à un tiers dont on sait où il stocke et traite les données”, et, d’autre part, des relations avec un prestataire cloud. Plus précisément dans le cas d’un cloud public (Amazon, Google, Dropbox…) pour lequel on ne sait pas dans quel data center, sur quelle infrastructure, sont stockées les données.

“Selon les termes de la DGPR, l’envoi et le traitement de données sur des infrastructures se situant dans des pays européens ou jugés conformes [par exemple le Royaume-Uni post-Brexit] ne posent pas de difficultés particulières puisqu’elles tombent sous le coup des contraintes européennes et que l’exercice d’évaluation est clairement défini et suffira. Par contre, si elles sont stockées et traitées en dehors d’Europe, il faudra procéder à un exercice d’évaluation supplémentaire. La société (le responsable de traitement) devra juger de la capacité du processor [sous-traitant, hébergeur] à être en ordre avec la loi.

Dans le cas d’un contrat cloud, il faut donc effectuer plus de choses, prévoir plus de temps pour négocier le contrat. C’est sans doute l’occasion de réexaminer ses choix, entre prestataires d’outsourcing classiques et prestataires cloud…”

Mais comment demander et obtenir d’un acteur tel que Google ou Amazon qu’il apporte la preuve et la garantie que les données seront bien sécurisées et que les traitements qui y seront appliqués sont respectueux des dispositions de la DGPR? Ou encore que la société ou ses clients auront la possibilité de modifier les droits de traitement consentis sur telle ou telle donnée?

François Santy, consultant en cyber-sécurité chez EY (Ernst & Young): “Certains prestataires ont été certifiés ISAE 3402. Cette norme [voir notre article Terminologie] indique qu’ils garantissent la fiabilité et la sécurité IT des services prestés.

La société cliente doit toutefois vérifier que cette norme ISAE couvre bel et bien tous les endroits où peuvent être stockées les données. En général, des acteurs tels qu’Amazon ou Google ne fournissent pas les certificats à tout le monde mais le font éventuellement sur demande. Il demeure bien entendu nettement plus facile de négocier avec un prestataire plus modeste…

Il existe également des certifications plus spécifiques pour prestataires cloud, telles l’ISO 27017 qu’arborent par exemple Amazon et Google. Il ne s’agit toutefois pas d’une réelle garantie mais simplement d’une preuve qu’ils ont mis en place, en interne, une méthodologie pour gérer les risques en bons pères de famille…”

Il y a cloud et cloud…

Les solutions cloud et SaaS impliquent-elles des difficultés, risques, mesures spécifiques ?

Frédéric Gelissen est affirmatif: “Même si certains fournisseurs présentent leurs services comme très sécurisés, les entreprises n’ont que peu de garanties sur le véritable niveau de protection des données privées dans le cloud (surtout chez les gros fournisseurs comme Google, Dropbox, Amazon ou Microsoft).

Il est, me semble-t-il, hautement préférable d’avoir un interlocuteur humain en face de soi pour négocier un contrat cloud qui réponde aux exigences de votre entreprise et de la GDPR mise dans le contexte de votre entreprise.

Là aussi, la classification des données est primordiale car elle permettra de définir quelles données peuvent être stockées sur le cloud public (dans un One Drive Business, par exemple) ou chez un fournisseur cloud local ou encore dans un datacenter interne (ce qui devient plus rare).

Cette séparation des types de stockages en fonction du risque permet d’optimiser les coûts mais là aussi une petite étude par un expert peut être nécessaire pour faire les bons choix tant légaux que financiers.”

Fiable les prestataires cloud?

Les évaluations de fiabilité peuvent varier d’un observateur à l’autre. Preuve en est la vision légèrement différente qu’en ont nos deux observateurs – Frédéric Gelissen et Philippe Laurent. Même si, sur le fond et dans l’ensemble, ils se rejoignent…

“On sait que des solutions telles que Google Drive ou Dropbox n’offrent qu’un très faible taux de sécurité”, déclare Frédéric Gelissen. “Ce type de stockage est à risque et ces acteurs-là ne vont pas améliorer de manière drastique leurs mesures de sécurité parce que leur but est d’attirer un maximum d’utilisateurs, de “jouer la masse” et de favoriser la flexibilité et la facilité pour l’utilisateur final.

Cela ne fait que renforcer l’importance qu’il y a pour une société à procéder à une classification précise et soigneuse de ses données. Elle pourra ainsi continuer à confier à ce type d’acteurs le stockage de données qui sont moins à risque [Ndlr: moins confidentielles, de caractère non privé…]. Cela pourrait d’ailleurs se traduire par des gains financiers puisque la société ne devra plus payer de tarif élevé pour du stockage sécurisé, voire crypté, de données qui ne le nécessitent pas.”

Mais, en parallèle, on verra sans doute se multiplier et se positionner des acteurs qui, eux, proposeront des solutions de stockage sécurisées, conformes GDPR, qui garantissent le respect de la confidentialité des données. Ils s’en serviront comme argument commercial différenciateur – et monétisable.

Pour sa part, Philippe Laurent, avocat au cabinet MVVP, estime que “Google, Amazon ou Microsoft [Ndlr: trois grands noms de la sphère “cloud public”] sont très conscients de la problématique. Microsoft a même saisi l’opportunité de la GDPR pour adopter une stratégie “patte blanche” et en faire un argument commercial, en procédant à une séparation de ses entités juridiques pour mieux se conformer aux obligations européennes.

Ces acteurs font tout pour être conformes, régionalisent leurs services au maximum, localisent les données dans des infocentres situés en Europe…

Là où le bât blesse surtout, c’est du côté des petits fournisseurs locaux. Certes, une société belge peut considérer qu’ils représentent un avantage puisqu’elle a l’assurance que ses données seront hébergées et traitées sur le territoire mais, en tant que responsable de traitement, elle doit s’assurer que son fournisseur IT met les bonnes mesures en place. Il lui faudra l’auditer davantage.

Quand on étudie la capacité de conformité des acteurs locaux, on s’aperçoit parfois rapidement qu’ils opèrent avec les moyens du bord.”

Que doit-on exiger du prestataire d’hébergement?

Bruno Schröder, directeur technologique de Microsoft Belgique, énumère quelques conseils visant à vérifier que les prestataires mettent bel et bien en oeuvre des principes dits de “trusted cloud”.

A vérifier donc s’ils sont en mesure de:

• offrir des garanties robustes de protection des données
• donner au client le contrôle sur ses données et l’aider à les garder privées
• procurer une aide au respect des règles de conformité, en fonction des besoins spécifiques du client
• garantir la transparence: “le prestataire doit expliquer ce qu’il fait avec les données, dans un langage qui soit compréhensible.”