RGPD : le cas des offres "sur étagère" dans le futur référentiel de certification des sous-traitants

Quelle place pour les "offres de services" dans le futur référentiel d'évaluation des sous-traitants RGPD ?

La CNIL prépare un tel document, destiné à accompagner la certification de ces acteurs. Elle y définit les "offres de services" comme des "[ensembles] de services ou de prestations 'sur étagère' que le sous-traitant propose à plusieurs de ses clients".

Le brouillon soumis à consultation publique jusqu'à fin février comprend 90 points de contrôle. Dans une vingtaine d'entre eux, il est question desdites "offres de services" ; avec des dispositions plus ou moins spécifiques.

Concernant la recevabilité des demandes de certification

Entre autres éléments, le référentiel conditionne l'acceptation des demandes de certification à une identification des traitements effectués. Le sous-traitant dont notamment identifier les établissements où sont exercés les traitements concernés, les éventuels sous-traitants ultérieurs, les transferts hors UE et les processus d'anonymisation.

Dans le cas d'une offre de service, le sous-traitant devra inclure, pour chacun de ces critères, l'ensemble des traitements nécessaires à l'utilisation du service qu'il propose, dès lors que ces traitements sont effectués pour le compte du client. Il devra par ailleurs identifier les dispositions législatives ou réglementaires en matière de protection des données personnelles (hors RGPD) auxquelles le client est susceptible d'être soumis.

Concernant la contractualisation

Parmi les clauses que doit prévoir un contrat de sous-traitance, l'une porte sur les instructions de traitement concernant les transferts de données hors de l'UE.
D'après la version actuelle du référentiel, lorsque le sous-traitant communique sur une offre de service, il doit informer ses prospects de l'existence d'un ou plusieurs de ces traitements lorsque le choix de son offre implique qu'un tel transfert soit mis en place par lui-même ou par un sous-traitant ultérieur.

Une autre clause à prévoir concerne l'autorisation de recourir à des sous-traitants ultérieurs. De manière générale, le sous-traitant initial devra fournir aux prospects une liste potentielle de ces sous-traitants ultérieurs (ou de leur type). Dans le cadre d'une offre de service, les prospects devront être informés de l'existence d'une sous-traitance ultérieure, qu'importe le sous-traitant qui la met en place.

Le référentiel impose aussi au sous-traitant de mettre en place une procédure de recueil des instructions du responsable de traitement. Cela implique, par exemple :

• De s'assurer de disposer d'instructions écrites et datées
• D'informer le client en cas d'obligations légales de réaliser des traitements
• De se renseigner sur la manière dont seront traitées les demandes portant sur de nouvelles instructions
• D'évaluer la compatibilité de chaque instruction avec le droit en matière de protection des données personnelles

Dans le contexte d'une offre de service s'ajoute à cette liste le fait de donner au client la possibilité de demander des configurations ou des paramétrages spécifiques. Et, en complément, de l'aider à documenter ses instructions en la matière.

Concernant la préparation des traitements

Pour chaque traitement, le sous-traitant doit disposer d'un certain nombre d'informations. En particulier, les dates de début et de fin, les coordonnées de chaque client et l'identification des données sensibles.
Lorsque des traitements similaires sont réalisés pour le compte d'un nombre important de clients dans le cadre d'une offre de service, le sous-traitant doit disposer de moyens pour accéder aux coordonnées de chaque client. Cela lui incombe également pour chacune des éventuelles configurations qu'il proposerait.

La commercialisation d'une offre de service peut amener un sous-traitant à tenir à la disposition des clients des éléments d'analyse d'impact relative à la protection des données. Ainsi que d'analyse de risques justifiant la mise en oeuvre de mesures techniques et opérationnelles d'un niveau de sécurité approprié aux traitements. Il lui faut alors respecter diverses dispositions. Sur le premier point, par exemple, justifier de mesures garantissant la proportionnalité et la nécessité du traitement. Sur le second, définir une liste d'éléments redoutés et identifier les mesures de sécurité permettant d'atténuer leur vraisemblance.

Concernant la mise en oeuvre des traitements

Sur ce volet, certaines dispositions englobant les offres de services se croisent avec d'autres relatives à la contractualisation. Il est par exemple rappelé, dans le cadre du point de contrôle concernant la mise en place d'une procédure relative aux instructions du responsable de traitement, que ces dernières doivent inclure, dans le contexte d'une offre de service, la configuration ou le paramétrage retenu. Ainsi que les adaptations dont il aura éventuellement été convenu.

Autre point de contrôle qui englobe les offres de service : celui qui impose au sous-traitant d'actualiser ses mesures de protection des données en cas d'évolution des instructions du responsable de traitement. S'il envisage - ou qu'un sous-traitant ultérieur envisage - de faire évoluer les moyens du traitement, il devra, entre autres, vérifier si cela implique le recrutement d'un nouveau sous-traitant ultérieur... ou d'une offre de service différente.

Les sous-traitants sont aussi tenus de proposer à leur personnel des ressources pédagogiques :

• Accessibles à tout moment
• Régulièrement diffusées au travers d'actions de sensibilisation, de sessions de formation et d'actions de communication
• Actualisées au moins une fois par an

Dans le cas d'une offre de service, il faut adjoindre à ces ressources une documentation explicative des conditions à respecter lors de l'utilisation du service pour la protection des données. Et fournir cette doc aux clients au plus tard au démarrage du traitement.

Concernant la définition de plans d'action

Le référentiel que propose la CNIL impose la définition de trois types de plans d'action. Respectivement, pour le maintien (et l'amélioration) du niveau de sécurité des traitements, l'évaluation de la sous-traitance ultérieure et l'amélioration de la prestation ou de l'offre de service.

Concernant les mesures techniques et opérationnelles de sécurité

En matière de gestion des habilitations, le référentiel impose aux sous-traitants de :

• Prévoir différents profils pour limiter l'accès aux données sur le principe du moindre privilège
• Faire valider par un responsable chaque demande d'habilitation d'un nouvel utilisateur issu de leur personnel et de chaque modification appliquée aux habilitations de ce personnel
• Supprimer, dans un délai déterminé, les habilitations d'un utilisateur à la fin de son contrat de travail ou de la prestation au bénéfice du sous-traitant

Une offre de service permettant aux clients de gérer les habilitations et les permissions d'accès d'une partie des utilisateurs doit donner accès à divers profils d'habilitation, dont un profil admin. Elle permettra aussi d'enregistrer, de modifier, de supprimer et d'accéder aux habilitations et aux permissions d'accès associées.

Des spécificités s'appliquent aussi pour authentification des utilisateurs. Les offres de services qui la délèguent pour partie au client doivent permettre :

• D'identifier chaque utilisateur par l'identifiant unique qu'aura fourni le client
• De conditionner l'accès du service à une authentification préalable de l'utilisateur
• De détecter et journaliser, de façon accessible au client, les tentatives d'authentification qui semblent incompatiles avec l'unicité de l'identifiant fourni par le client

En matière de journalisaiton, les traces doivent inclure au minimum l'authentifiant de l'utilisateur, l'horodatage et la nature des actions. Les offres de services déléguant la gestion des habilitations et des permissions d'accès doit inclure une fonction de consultation de ces traces.

En parallèle, dans le cadre d'une offre de service, le sous-traitant doit définir les mesures de sauvegarde de manière à permettre le redémarrage du traitement dans le cadre d'une reprise d'activité à la suite d'une perte totale des données en base active.

Illustration générée par IA