Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 314

D

O

C

T

R

I

N

E

Les
négociations
peuvent
s'avérer parfois complexes sur
les aspects interprétables du
RGPD.
Tandis que le texte prévoit que
le sous-traitant informe « dans
les meilleurs délais  » après
en avoir pris connaissance
le responsable de traitement
d'une violation de données
personnelles, en pratique, il est
fortement recommandé d'être
plus précis.
Plus les critères sont précis,
plus la relation avec le
sous-traitant sera par la suite
plus simple à gérer. Ensuite,
il s'agit essentiellement de ne
pas laisser le sous-traitant seul
maître du délai d'information.
Il apparaît ainsi raisonnable
de lui donner un délai de 48h
pour informer le responsable
de traitement, voire préciser
par exemple 24 ou 48 heures
à compter du moment où
il est sûr que des données
concernant le client sont
touchées. Dans la pratique des
négociations, la justification
est acceptée car elle apparaît
faisable et raisonnable pour le
sous-traitant.
Une autre option pourrait être
de procéder à une sorte de
classification des incidents
de sécurité par criticité. Par
exemple, selon la criticité
définie par les parties, le délai
d'information peut varier d'un
jour ouvré à 5 jours ouvrés.
A l'issue du délai d'information,
il s'agit de cadrer l'assistance
du
sous-traitant
lorsqu'il
remonte une violation de
données personnelles et ce,
sans frais supplémentaire pour
le responsable de traitement.
Le point de contact chez le
responsable de traitement doit
également être bien précisé.
Une adresse générique est plus
appréciable, car bien souvent
plusieurs
personnes
sont
destinataires.

314

Le responsable de traitement
attend de son sous-traitant
une réactivité décuplée en
cas de violation de données
personnelles, car le compte à
rebours commence une fois
que ce premier est informé.
Il
peut
notamment
être
intéressant de préciser dans
une partie de l'annexe sécurité
les informations attendues
du sous-traitant. Ainsi, si une
violation de données personnelles se produit, ce dernier
saura quelles informations
doivent être collectées sans
nécessairement attendre de
recevoir des instructions du
responsable de traitement.

Quelles précisions
sont à apporter
dans les contrats
concernant les audits
sécurité ?
Les négociations de la clause
audit portent régulièrement sur
les mêmes points (périmètre,
redondance, organisation, audit
suite à un incident).
Dans un premier temps, le
fournisseur
tente
souvent
de faire éliminer la clause
d'audit de l'annexe sécurité en
justifiant qu'elle est redondante
car elle est déjà soit dans le
contrat principal ou soit dans le
contrat ou dans l'annexe dédiée
aux données personnelles.
Certes cet argument est tout à
fait recevable, sauf si la clause
d'audit concernée n'apporte
pas les précisions attendues
en termes de sécurité. Aussi,
en pratique, il est souvent
acceptable d'harmoniser les
informations sur le délai de
prévenance et la fréquence des
audits, et le fournisseur accepte
généralement que la clause
d'audit de l'annexe sécurité soit
plus précise.
Ensuite, la clause d'audit doit
prévoir le type d'audits que
le responsable de traitement
souhaite réaliser ou faire
EXPERTISES Septembre 2020

réaliser. Un audit sécurité
contient en réalité plusieurs
catégories
de
tests
en
commençant simplement avec
des scans de vulnérabilité, et
pouvant aller au test d'intrusion (qui permet de simuler
une attaque). Il peut aussi s'agir
de demander au sous-traitant
de la documentation prouvant
qu'il a bien élaboré ce qui
est demandé dans l'annexe
sécurité ou encore le résultat
des tests de sécurité qu'il fait
procéder lui-même. En général,
le sous-traitant apprécie l'ajout
d'une durée maximale pour
la réalisation des audits sur
site, notamment pour ne pas
perturber le travail quotidien
de ses équipes sécurité ou
techniques
pendant
trop
longtemps. 5 jours ouvrés est
souvent une durée acceptée.
En outre, il peut être intéressant
dans les négociations d'obtenir
du sous-traitant la possibilité
de réaliser un audit supplémentaire si le sous-traitant a
subi une cyber-attaque. Bien
qu'en général contesté lors des
négociations, cet audit finit par
être accepté sous réserve bien
évidemment de ne pas perturber le travail du sous-traitant
dans le traitement de l'attaque
en question. Derrière cette
demande, l'idée est de laisser
travailler
l'entreprise
afin
de résoudre l'incident et le
responsable de traitement se
réserve ensuite la possibilité de
venir auditer.
Enfin, la clause d'audit inclut
aussi les suites de l'audit,
notamment l'élaboration d'un
plan d'actions avec la mise en
œuvre de mesures correctives.

Un plan d'assurance
sécurité est-il
obligatoire dans le
contrat ?
Le Plan d'assurance sécurité
(PAS) peut prendre plusieurs
formes. En général, il s'agit
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia
