Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 314
D
O
C
T
R
I
N
E
Les
négociations
peuvent
s'avérer parfois complexes sur
les aspects interprétables du
RGPD.
Tandis que le texte prévoit que
le sous-traitant informe « dans
les meilleurs délais » après
en avoir pris connaissance
le responsable de traitement
d'une violation de données
personnelles, en pratique, il est
fortement recommandé d'être
plus précis.
Plus les critères sont précis,
plus la relation avec le
sous-traitant sera par la suite
plus simple à gérer. Ensuite,
il s'agit essentiellement de ne
pas laisser le sous-traitant seul
maître du délai d'information.
Il apparaît ainsi raisonnable
de lui donner un délai de 48h
pour informer le responsable
de traitement, voire préciser
par exemple 24 ou 48 heures
à compter du moment où
il est sûr que des données
concernant le client sont
touchées. Dans la pratique des
négociations, la justification
est acceptée car elle apparaît
faisable et raisonnable pour le
sous-traitant.
Une autre option pourrait être
de procéder à une sorte de
classification des incidents
de sécurité par criticité. Par
exemple, selon la criticité
définie par les parties, le délai
d'information peut varier d'un
jour ouvré à 5 jours ouvrés.
A l'issue du délai d'information,
il s'agit de cadrer l'assistance
du
sous-traitant
lorsqu'il
remonte une violation de
données personnelles et ce,
sans frais supplémentaire pour
le responsable de traitement.
Le point de contact chez le
responsable de traitement doit
également être bien précisé.
Une adresse générique est plus
appréciable, car bien souvent
plusieurs
personnes
sont
destinataires.
314
Le responsable de traitement
attend de son sous-traitant
une réactivité décuplée en
cas de violation de données
personnelles, car le compte à
rebours commence une fois
que ce premier est informé.
Il
peut
notamment
être
intéressant de préciser dans
une partie de l'annexe sécurité
les informations attendues
du sous-traitant. Ainsi, si une
violation de données personnelles se produit, ce dernier
saura quelles informations
doivent être collectées sans
nécessairement attendre de
recevoir des instructions du
responsable de traitement.
Quelles précisions
sont à apporter
dans les contrats
concernant les audits
sécurité ?
Les négociations de la clause
audit portent régulièrement sur
les mêmes points (périmètre,
redondance, organisation, audit
suite à un incident).
Dans un premier temps, le
fournisseur
tente
souvent
de faire éliminer la clause
d'audit de l'annexe sécurité en
justifiant qu'elle est redondante
car elle est déjà soit dans le
contrat principal ou soit dans le
contrat ou dans l'annexe dédiée
aux données personnelles.
Certes cet argument est tout à
fait recevable, sauf si la clause
d'audit concernée n'apporte
pas les précisions attendues
en termes de sécurité. Aussi,
en pratique, il est souvent
acceptable d'harmoniser les
informations sur le délai de
prévenance et la fréquence des
audits, et le fournisseur accepte
généralement que la clause
d'audit de l'annexe sécurité soit
plus précise.
Ensuite, la clause d'audit doit
prévoir le type d'audits que
le responsable de traitement
souhaite réaliser ou faire
EXPERTISES Septembre 2020
réaliser. Un audit sécurité
contient en réalité plusieurs
catégories
de
tests
en
commençant simplement avec
des scans de vulnérabilité, et
pouvant aller au test d'intrusion (qui permet de simuler
une attaque). Il peut aussi s'agir
de demander au sous-traitant
de la documentation prouvant
qu'il a bien élaboré ce qui
est demandé dans l'annexe
sécurité ou encore le résultat
des tests de sécurité qu'il fait
procéder lui-même. En général,
le sous-traitant apprécie l'ajout
d'une durée maximale pour
la réalisation des audits sur
site, notamment pour ne pas
perturber le travail quotidien
de ses équipes sécurité ou
techniques
pendant
trop
longtemps. 5 jours ouvrés est
souvent une durée acceptée.
En outre, il peut être intéressant
dans les négociations d'obtenir
du sous-traitant la possibilité
de réaliser un audit supplémentaire si le sous-traitant a
subi une cyber-attaque. Bien
qu'en général contesté lors des
négociations, cet audit finit par
être accepté sous réserve bien
évidemment de ne pas perturber le travail du sous-traitant
dans le traitement de l'attaque
en question. Derrière cette
demande, l'idée est de laisser
travailler
l'entreprise
afin
de résoudre l'incident et le
responsable de traitement se
réserve ensuite la possibilité de
venir auditer.
Enfin, la clause d'audit inclut
aussi les suites de l'audit,
notamment l'élaboration d'un
plan d'actions avec la mise en
œuvre de mesures correctives.
Un plan d'assurance
sécurité est-il
obligatoire dans le
contrat ?
Le Plan d'assurance sécurité
(PAS) peut prendre plusieurs
formes. En général, il s'agit
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia
Table des matières de la publication Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia
Couverture
Editorial & Sommaire
FOCUS - DONNÉES PERSONNELLES : INCERTITUDE JURIDIQUE SUR LES FLUX TRANSATLANTIQUES
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - SMART CITY : INTÉRÊT GÉNÉRAL BY DESIGN
DOCTRINE
CONTRATS ET RGPD - POINTS DURS LIÉS À LA CYBERSÉCURITÉ
FISCALITÉ - UN RÉGIME ATTRACTIF POUR LES LOGICIELS
INNOVATION - DIGITAL FACTORY : STRUCTURE ET CONTRATS
SIGNATURE ÉLECTRONIQUE - ECLAIRAGE SUR LE « PARCOURS CLIENT »
RESPONSABILITÉ - LE RÈGLEMENT P2B : UNE OPPORTUNITÉ POUR LA LUTTE CONTRE LA CONTREFAÇON ?
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - Editorial & Sommaire
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - DONNÉES PERSONNELLES : INCERTITUDE JURIDIQUE SUR LES FLUX TRANSATLANTIQUES
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 297
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 298
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 299
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 300
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 301
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 303
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 304
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - SMART CITY : INTÉRÊT GÉNÉRAL BY DESIGN
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 306
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 307
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 308
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 309
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 310
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - CONTRATS ET RGPD - POINTS DURS LIÉS À LA CYBERSÉCURITÉ
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 312
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 313
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 314
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 315
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - FISCALITÉ - UN RÉGIME ATTRACTIF POUR LES LOGICIELS
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 317
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - INNOVATION - DIGITAL FACTORY : STRUCTURE ET CONTRATS
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 319
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 320
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - SIGNATURE ÉLECTRONIQUE - ECLAIRAGE SUR LE « PARCOURS CLIENT »
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 322
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 323
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - RESPONSABILITÉ - LE RÈGLEMENT P2B : UNE OPPORTUNITÉ POUR LA LUTTE CONTRE LA CONTREFAÇON ?
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 325
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 326
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 327
Expertises des Systèmes d'information - Septembre 2020 - N°460 - Le mensuel du droit de l'informatique et du multimédia - 328
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com