{"id":4395,"date":"2021-06-11T11:59:22","date_gmt":"2021-06-11T11:59:22","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/?p=4395"},"modified":"2026-06-16T14:01:17","modified_gmt":"2026-06-16T14:01:17","slug":"role-du-sous-traitant","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/fr\/expertises\/tech-et-digital\/confidentialite-donnees-et-cybersecurite\/role-du-sous-traitant\/","title":{"rendered":"R\u00f4le du sous-traitant"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n

Le sous-traitant occupe, dans le cadre du RGPD, une position qui d\u00e9passe largement l\u2019image traditionnelle d\u2019un prestataire externe accomplissant uniquement des op\u00e9rations techniques. Dans une \u00e9conomie num\u00e9rique o\u00f9 les infrastructures cloud, les plateformes SaaS, les prestataires de services manag\u00e9s, les centres de donn\u00e9es, les fournisseurs de cybers\u00e9curit\u00e9, les syst\u00e8mes RH, les prestataires de paiement, les technologies marketing et les services sp\u00e9cialis\u00e9s d\u2019analyse portent une part substantielle du traitement op\u00e9rationnel des donn\u00e9es, le sous-traitant se situe au c\u0153ur m\u00eame de la cha\u00eene de risque num\u00e9rique. La qualification juridique de sous-traitant demeure formellement li\u00e9e au traitement effectu\u00e9 pour le compte du responsable du traitement, mais sa port\u00e9e pratique est devenue consid\u00e9rablement plus lourde. Un sous-traitant peut avoir acc\u00e8s \u00e0 des jeux de donn\u00e9es \u00e9tendus, g\u00e9rer des syst\u00e8mes critiques, d\u00e9terminer des param\u00e8tres de s\u00e9curit\u00e9, faciliter la journalisation, d\u00e9tecter des violations de donn\u00e9es, ex\u00e9cuter des processus de restauration et recourir \u00e0 des sous-traitants ult\u00e9rieurs dans des cha\u00eenes internationales. Sa fonction touche ainsi directement \u00e0 la fiabilit\u00e9, \u00e0 la continuit\u00e9, \u00e0 la confidentialit\u00e9, \u00e0 la disponibilit\u00e9 et \u00e0 la contr\u00f4labilit\u00e9 des donn\u00e9es. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, cette position rev\u00eat une importance majeure, car les donn\u00e9es \u00e0 caract\u00e8re personnel ne sont pas seulement sensibles du point de vue de la vie priv\u00e9e : elles constituent \u00e9galement une cible attractive pour la fraude, l\u2019usurpation d\u2019identit\u00e9, la prise de contr\u00f4le de comptes, le phishing, les ran\u00e7ongiciels, la compromission de courriels professionnels et d\u2019autres risques de criminalit\u00e9 num\u00e9rique. Le sous-traitant n\u2019est donc pas une partie contractuelle p\u00e9riph\u00e9rique, mais un maillon dont la qualit\u00e9 d\u00e9termine en partie si les donn\u00e9es \u00e0 caract\u00e8re personnel demeurent effectivement prot\u00e9g\u00e9es contre l\u2019abus, la manipulation, la perte et l\u2019acc\u00e8s non autoris\u00e9.<\/p>\n

La question centrale lors du recours \u00e0 un sous-traitant de donn\u00e9es n\u2019est pas uniquement de savoir si un accord de sous-traitance existe, mais si la relation r\u00e9elle a \u00e9t\u00e9 structur\u00e9e de mani\u00e8re suffisamment ma\u00eetrisable, v\u00e9rifiable et opposable. Un accord purement documentaire, d\u00e9pourvu de ma\u00eetrise op\u00e9rationnelle, offre peu de protection lorsque demeurent incertains le lieu de stockage des donn\u00e9es, l\u2019identit\u00e9 des sous-traitants ult\u00e9rieurs, les modalit\u00e9s de notification des incidents, les normes de s\u00e9curit\u00e9 applicables, la mise en \u0153uvre des modifications de service et l\u2019exercice pratique des droits des personnes concern\u00e9es. Le RGPD accorde donc une importance consid\u00e9rable aux instructions, \u00e0 la s\u00e9curit\u00e9, \u00e0 la confidentialit\u00e9, au contr\u00f4le de la cha\u00eene, \u00e0 l\u2019assistance, \u00e0 la cessation de la relation et \u00e0 la capacit\u00e9 de d\u00e9monstration. Ces obligations ne doivent pas \u00eatre comprises comme des clauses contractuelles isol\u00e9es, mais comme des exigences de gouvernance interd\u00e9pendantes d\u00e9terminant si un traitement externalis\u00e9 de donn\u00e9es peut \u00eatre r\u00e9alis\u00e9 de mani\u00e8re responsable. Dans le contexte de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, cela signifie que les relations avec les sous-traitants doivent \u00eatre appr\u00e9ci\u00e9es sous l\u2019angle de la lic\u00e9it\u00e9 juridique, de la r\u00e9silience num\u00e9rique, de la d\u00e9pendance de cha\u00eene, de la solidit\u00e9 probatoire et du contr\u00f4le manag\u00e9rial. Une organisation qui externalise le traitement de donn\u00e9es demeure responsable de l\u2019ad\u00e9quation du sous-traitant, du caract\u00e8re suffisamment concret des arrangements et de la possibilit\u00e9 de surveiller la conformit\u00e9 tout au long de la relation. Le sous-traitant de donn\u00e9es est donc \u00e0 la fois un ex\u00e9cutant et un point de risque : limit\u00e9 dans la d\u00e9termination juridique des finalit\u00e9s, mais fortement influent dans la protection, la continuit\u00e9 et l\u2019int\u00e9grit\u00e9 effectives des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n

Traitement pour le compte du responsable du traitement<\/h4>\n

Le sous-traitant ne traite pas les donn\u00e9es \u00e0 caract\u00e8re personnel pour ses propres finalit\u00e9s, mais exclusivement pour le compte et sur mandat du responsable du traitement. Ce principe constitue l\u2019ancrage juridique du r\u00f4le du sous-traitant dans le cadre du RGPD. Le responsable du traitement d\u00e9termine pourquoi les donn\u00e9es \u00e0 caract\u00e8re personnel sont trait\u00e9es, dans quel but ce traitement intervient et dans quel cadre essentiel il s\u2019inscrit. Le sous-traitant de donn\u00e9es accomplit, quant \u00e0 lui, les op\u00e9rations mat\u00e9rielles n\u00e9cessaires \u00e0 l\u2019ex\u00e9cution de ce traitement, telles que l\u2019h\u00e9bergement, le stockage, la maintenance, l\u2019assistance technique, le traitement administratif, la surveillance de s\u00e9curit\u00e9, la gestion des sauvegardes ou la fourniture de services de plateforme. Cette r\u00e9partition des r\u00f4les n\u2019est pas une formalit\u00e9 ; elle d\u00e9termine l\u2019ensemble de la distribution des responsabilit\u00e9s au sein de la cha\u00eene de traitement des donn\u00e9es. Lorsque le sous-traitant utilise des donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 des fins commerciales propres, pour ses propres analyses, pour le d\u00e9veloppement de produits en dehors du service convenu ou pour une r\u00e9utilisation au b\u00e9n\u00e9fice d\u2019autres clients, une tension appara\u00eet imm\u00e9diatement avec la qualification de sous-traitant. L\u2019essence du traitement pour le compte d\u2019autrui r\u00e9side donc dans une subordination fonctionnelle : le sous-traitant de donn\u00e9es peut agir dans les limites du mandat, mais non au-del\u00e0 de la finalit\u00e9 pour laquelle les donn\u00e9es lui ont \u00e9t\u00e9 confi\u00e9es.<\/p>\n

Dans les services num\u00e9riques complexes, cette d\u00e9limitation devient de plus en plus vuln\u00e9rable. De nombreux sous-traitants proposent des plateformes standardis\u00e9es dans lesquelles la configuration technique, les param\u00e8tres de s\u00e9curit\u00e9, les lieux de stockage et les processus op\u00e9rationnels sont largement d\u00e9termin\u00e9s par le prestataire. Le responsable du traitement peut ainsi donner formellement des instructions, tandis que la marge de man\u0153uvre effective est largement fa\u00e7onn\u00e9e par les conditions standard du fournisseur, les limites techniques et les modules contractuels. Cette r\u00e9alit\u00e9 ne diminue pas l\u2019importance de la qualification de sous-traitant, mais exige un examen plus rigoureux. Le traitement pour le compte d\u2019un responsable suppose que soient \u00e9tablis \u00e0 l\u2019avance les traitements qui auront lieu, les cat\u00e9gories de donn\u00e9es concern\u00e9es, les personnes concern\u00e9es impliqu\u00e9es, les syst\u00e8mes utilis\u00e9s, les possibilit\u00e9s d\u2019acc\u00e8s existantes et les limites applicables \u00e0 l\u2019utilisation, au stockage, au transfert et \u00e0 l\u2019effacement. Sans ce degr\u00e9 de pr\u00e9cision, la relation de mandat peut ais\u00e9ment se transformer en une relation de d\u00e9pendance diffuse dans laquelle le responsable du traitement dispose d\u2019une visibilit\u00e9 insuffisante sur le traitement effectif des donn\u00e9es \u00e0 caract\u00e8re personnel. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, cette situation est probl\u00e9matique, car l\u2019incertitude entourant le mandat, l\u2019acc\u00e8s et la limitation des finalit\u00e9s accro\u00eet le risque de flux de donn\u00e9es non ma\u00eetris\u00e9s, de choix de s\u00e9curit\u00e9 fragiles et de d\u00e9tection insuffisante des risques de criminalit\u00e9 num\u00e9rique.<\/p>\n

Une relation de sous-traitance soigneusement structur\u00e9e commence donc par une appr\u00e9ciation substantielle du service avant tout traitement de donn\u00e9es \u00e0 caract\u00e8re personnel. Le responsable du traitement doit pouvoir \u00e9tablir si le traitement est r\u00e9ellement n\u00e9cessaire \u00e0 la finalit\u00e9 envisag\u00e9e, si le sous-traitant agira exclusivement dans le cadre de cette finalit\u00e9 et si le service est suffisamment transparent pour permettre un contr\u00f4le effectif. Cela implique une description claire de la nature et de la finalit\u00e9 du traitement, de sa dur\u00e9e, des types de donn\u00e9es \u00e0 caract\u00e8re personnel, des cat\u00e9gories de personnes concern\u00e9es et des obligations du sous-traitant. Ces \u00e9l\u00e9ments ne doivent pas rester au niveau de formulations g\u00e9n\u00e9rales, car des formulations g\u00e9n\u00e9riques offrent peu de prise en cas de litige, d\u2019incident ou de questionnement par une autorit\u00e9 de contr\u00f4le. La relation de mandat doit \u00eatre suffisamment concr\u00e8te pour permettre d\u2019\u00e9tablir, tant juridiquement qu\u2019op\u00e9rationnellement, quelles op\u00e9rations sont autoris\u00e9es et quelles op\u00e9rations d\u00e9passent le mandat. Le sous-traitant de donn\u00e9es est ainsi int\u00e9gr\u00e9 dans une structure plus large de ma\u00eetrise de la criminalit\u00e9 num\u00e9rique, dans laquelle l\u2019externalisation ne conduit pas \u00e0 une perte de contr\u00f4le, mais \u00e0 une ex\u00e9cution contr\u00f4l\u00e9e dans des limites claires. Le sous-traitant peut occuper une position techniquement puissante, mais cette position doit toujours rester subordonn\u00e9e au mandat du responsable du traitement.<\/p>\n

Soumission \u00e0 des instructions document\u00e9es<\/h4>\n

L\u2019obligation d\u2019agir exclusivement sur la base d\u2019instructions document\u00e9es constitue l\u2019une des garanties les plus essentielles dans la relation entre le responsable du traitement et le sous-traitant de donn\u00e9es. Les instructions forment le cadre juridique et op\u00e9rationnel dans lequel le sous-traitant peut collecter, consulter, conserver, modifier, s\u00e9curiser, transf\u00e9rer, effacer ou traiter autrement des donn\u00e9es \u00e0 caract\u00e8re personnel. En l\u2019absence de telles instructions, la d\u00e9limitation normative du traitement fait d\u00e9faut et le risque appara\u00eet que le sous-traitant interpr\u00e8te lui-m\u00eame l\u2019\u00e9tendue des op\u00e9rations autoris\u00e9es. Le RGPD exige donc davantage que des accords oraux ou des r\u00e9f\u00e9rences g\u00e9n\u00e9rales au service fourni. Les instructions doivent \u00eatre consign\u00e9es, v\u00e9rifiables et suffisamment sp\u00e9cifiques pour correspondre \u00e0 la nature du traitement. Il ne s\u2019agit pas seulement des t\u00e2ches accomplies par le sous-traitant, mais \u00e9galement des restrictions : quelles donn\u00e9es ne peuvent pas \u00eatre utilis\u00e9es, quels traitements sont exclus, quels lieux sont interdits, quels niveaux d\u2019acc\u00e8s s\u2019appliquent et quelles conditions gouvernent les modifications. Les instructions document\u00e9es rendent la relation de sous-traitance contr\u00f4lable et constituent une preuve essentielle lorsqu\u2019une autorit\u00e9 de contr\u00f4le, une juridiction, une personne concern\u00e9e ou un audit interne demande pourquoi un traitement d\u00e9termin\u00e9 de donn\u00e9es a eu lieu.<\/p>\n

Dans les cha\u00eenes num\u00e9riques, l\u2019importance des instructions document\u00e9es est accrue parce que le traitement des donn\u00e9es s\u2019effectue souvent au moyen de processus automatis\u00e9s qui ne font pas l\u2019objet d\u2019une appr\u00e9ciation distincte \u00e0 chaque occurrence. Une plateforme logicielle peut g\u00e9n\u00e9rer automatiquement des journaux, conserver des m\u00e9tadonn\u00e9es, cr\u00e9er des sauvegardes, analyser le comportement des utilisateurs, traiter des alertes de s\u00e9curit\u00e9 ou r\u00e9pliquer des donn\u00e9es dans diff\u00e9rents environnements. Ces processus peuvent \u00eatre fonctionnellement n\u00e9cessaires, mais ils doivent n\u00e9anmoins relever du mandat. Les instructions doivent donc contenir non seulement un langage juridique, mais \u00e9galement refl\u00e9ter la r\u00e9alit\u00e9 technique. Il doit \u00eatre clair comment les flux de donn\u00e9es circulent, quelles op\u00e9rations syst\u00e8me se produisent par d\u00e9faut, quels choix sont configurables et quels traitements d\u00e9coulent de la s\u00e9curit\u00e9, de la maintenance, du d\u00e9pannage ou de la gestion des performances. Lorsque ces couches techniques demeurent hors de vue, un responsable du traitement peut avoir donn\u00e9 formellement des instructions alors que des parties essentielles du traitement effectif n\u2019ont pas r\u00e9ellement \u00e9t\u00e9 d\u00e9limit\u00e9es. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, ce point m\u00e9rite une attention particuli\u00e8re, car les attaquants exploitent fr\u00e9quemment des faiblesses techniques, des chemins d\u2019acc\u00e8s non ma\u00eetris\u00e9s et des droits syst\u00e8me insuffisamment clairs. Les instructions document\u00e9es ne sont donc pas seulement pertinentes au regard du droit de la protection des donn\u00e9es ; elles constituent \u00e9galement un instrument de ma\u00eetrise de la criminalit\u00e9 num\u00e9rique.<\/p>\n

Un sous-traitant de donn\u00e9es doit en outre \u00eatre capable d\u2019identifier les situations dans lesquelles une instruction est obscure, contradictoire ou potentiellement illicite. Le sous-traitant n\u2019est pas un contr\u00f4leur ind\u00e9pendant du responsable du traitement, mais il ne peut pas davantage ex\u00e9cuter aveugl\u00e9ment des instructions manifestement contraires aux obligations de protection des donn\u00e9es. Une relation de sous-traitance robuste consigne donc la mani\u00e8re dont les instructions sont \u00e9mises, modifi\u00e9es, confirm\u00e9es et document\u00e9es, les personnes habilit\u00e9es \u00e0 donner des instructions et les modalit\u00e9s d\u2019escalade lorsqu\u2019une instruction soul\u00e8ve une difficult\u00e9 juridique ou technique. Cette couche proc\u00e9durale emp\u00eache que des d\u00e9cisions cruciales disparaissent dans des courriels isol\u00e9s, des tickets de support informels ou des arrangements op\u00e9rationnels d\u00e9pourvus de garanties manag\u00e9riales. Dans les domaines de la r\u00e9ponse aux incidents, des migrations, des modifications de syst\u00e8mes, de l\u2019exportation de donn\u00e9es, des demandes d\u2019effacement et des mesures urgentes, il est particuli\u00e8rement important que les instructions soient rapides, claires et probatoirement solides. La valeur des instructions ne r\u00e9side pas seulement dans la d\u00e9limitation pr\u00e9alable, mais aussi dans la capacit\u00e9 de rendre compte a posteriori de mani\u00e8re d\u00e9montrable. Un sous-traitant pouvant d\u00e9montrer que le traitement a eu lieu exclusivement dans des param\u00e8tres \u00e9crits et \u00e9tablis renforce la position du responsable du traitement et r\u00e9duit le risque que l\u2019externalisation soit consid\u00e9r\u00e9e comme un transfert non ma\u00eetris\u00e9 de pouvoir factuel sur les donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n

Absence de d\u00e9termination ind\u00e9pendante des finalit\u00e9s<\/h4>\n

Le sous-traitant de donn\u00e9es ne d\u00e9termine pas, en principe, de mani\u00e8re ind\u00e9pendante les finalit\u00e9s et les moyens essentiels du traitement. C\u2019est ce qui le distingue du responsable du traitement et constitue un \u00e9l\u00e9ment central de la qualification RGPD. La d\u00e9termination des finalit\u00e9s concerne la question de savoir pourquoi les donn\u00e9es \u00e0 caract\u00e8re personnel sont trait\u00e9es et quel r\u00e9sultat le traitement vise \u00e0 atteindre. Les moyens essentiels portent sur les choix fondamentaux, tels que les donn\u00e9es \u00e0 caract\u00e8re personnel n\u00e9cessaires, les personnes concern\u00e9es touch\u00e9es, la dur\u00e9e de conservation des donn\u00e9es, les destinataires auxquels les donn\u00e9es sont communiqu\u00e9es et la base juridique du traitement. Le sous-traitant peut effectuer des choix pratiques ou techniques lorsque ceux-ci s\u2019inscrivent dans le mandat, mais il ne peut pas d\u00e9terminer de mani\u00e8re autonome l\u2019orientation normative du traitement. Lorsqu\u2019un fournisseur utilise, par exemple, des donn\u00e9es clients pour constituer ses propres profils, combine des jeux de donn\u00e9es \u00e0 des fins d\u2019am\u00e9lioration propre de produits, exploite les donn\u00e9es \u00e0 des fins marketing ind\u00e9pendantes ou d\u00e9cide de mani\u00e8re autonome que les donn\u00e9es seront conserv\u00e9es plus longtemps que ne l\u2019exige le mandat, son r\u00f4le peut basculer vers celui de responsable du traitement. Une telle \u00e9volution peut avoir des cons\u00e9quences profondes en mati\u00e8re de responsabilit\u00e9, de transparence, de contractualisation, de contr\u00f4le et de droits des personnes concern\u00e9es.<\/p>\n

En pratique, la distinction entre marge de d\u00e9cision technique et d\u00e9termination ind\u00e9pendante des finalit\u00e9s est souvent d\u00e9licate. Les sous-traitants disposent fr\u00e9quemment d\u2019une expertise sp\u00e9cialis\u00e9e que le responsable du traitement ne poss\u00e8de pas lui-m\u00eame. Ils d\u00e9terminent les techniques de s\u00e9curit\u00e9 utilis\u00e9es, la configuration de l\u2019infrastructure, les modalit\u00e9s de surveillance, la strat\u00e9gie de sauvegarde appliqu\u00e9e et la mani\u00e8re dont les fonctionnalit\u00e9s de plateforme sont d\u00e9velopp\u00e9es. Cela ne les transforme pas automatiquement en responsables du traitement. L\u2019expertise technique exerc\u00e9e dans le cadre d\u2019un mandat demeure compatible avec le r\u00f4le de sous-traitant, pour autant que le traitement reste au service de la finalit\u00e9 d\u00e9termin\u00e9e par le responsable du traitement. La limite est franchie lorsque le sous-traitant commence \u00e0 utiliser des donn\u00e9es \u00e0 caract\u00e8re personnel pour un int\u00e9r\u00eat propre qui n\u2019est pas n\u00e9cessaire au service convenu, ou lorsqu\u2019il d\u00e9cide effectivement du noyau du traitement. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, cette limite doit \u00eatre surveill\u00e9e avec rigueur, car l\u2019ambigu\u00eft\u00e9 des r\u00f4les entra\u00eene une responsabilit\u00e9 incertaine en cas d\u2019incidents, de violations de donn\u00e9es, d\u2019acc\u00e8s non autoris\u00e9s, de transferts et d\u2019abus de donn\u00e9es. L\u2019ambigu\u00eft\u00e9 des r\u00f4les constitue un point de risque autonome dans les cha\u00eenes num\u00e9riques.<\/p>\n

Les contrats, la due diligence et la gouvernance op\u00e9rationnelle doivent donc examiner express\u00e9ment quelles d\u00e9cisions le sous-traitant de donn\u00e9es prend de mani\u00e8re autonome et quelles d\u00e9cisions rel\u00e8vent des instructions du responsable du traitement. Des notions g\u00e9n\u00e9rales telles que \u00ab am\u00e9lioration du service \u00bb, \u00ab analyses de s\u00e9curit\u00e9 \u00bb, \u00ab optimisation de la plateforme \u00bb ou \u00ab connaissances sur les utilisateurs \u00bb peuvent poser probl\u00e8me juridiquement lorsqu\u2019il n\u2019est pas clair si des donn\u00e9es \u00e0 caract\u00e8re personnel sont utilis\u00e9es \u00e0 ces fins et pour quelle raison. La pseudonymisation ou l\u2019agr\u00e9gation n\u2019\u00e9liminent pas automatiquement tout risque, notamment lorsque la r\u00e9-identification ou la combinaison avec d\u2019autres jeux de donn\u00e9es demeure possible. Le responsable du traitement doit pouvoir appr\u00e9cier si de telles formes de traitement rel\u00e8vent du mandat ou exigent des bases juridiques distinctes, des obligations de transparence sp\u00e9cifiques et une r\u00e9partition des r\u00f4les diff\u00e9rente. Un sous-traitant de donn\u00e9es qui pr\u00e9serve la puret\u00e9 de son r\u00f4le limite l\u2019utilisation des donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 ce qui est n\u00e9cessaire au service, soumet les traitements suppl\u00e9mentaires \u00e0 une \u00e9valuation distincte et s\u2019abstient de toute exploitation autonome sans base juridique claire. Cela \u00e9vite que l\u2019externalisation se transforme progressivement en pouvoir partag\u00e9 ou ind\u00e9pendant sur les donn\u00e9es. Pour la ma\u00eetrise de la criminalit\u00e9 num\u00e9rique, cette clart\u00e9 est particuli\u00e8rement importante, car des r\u00f4les clairement d\u00e9finis d\u00e9terminent qui doit agir, notifier, enqu\u00eater, rem\u00e9dier et rendre compte lorsque des donn\u00e9es \u00e0 caract\u00e8re personnel sont affect\u00e9es par une menace num\u00e9rique ou une d\u00e9faillance op\u00e9rationnelle.<\/p>\n

Obligation de s\u00e9curit\u00e9 appropri\u00e9e<\/h4>\n

L\u2019obligation de mettre en \u0153uvre des mesures techniques et organisationnelles appropri\u00e9es figure parmi les responsabilit\u00e9s les plus lourdes du sous-traitant de donn\u00e9es. Le sous-traitant est souvent plus proche que le responsable du traitement des syst\u00e8mes effectifs, des droits d\u2019acc\u00e8s, des bases de donn\u00e9es, des interfaces, de la journalisation, des configurations cloud et des mesures de s\u00e9curit\u00e9. Il exerce ainsi une influence directe sur la protection des donn\u00e9es \u00e0 caract\u00e8re personnel contre la perte, l\u2019acc\u00e8s non autoris\u00e9, la destruction, l\u2019alt\u00e9ration, l\u2019exfiltration ou le traitement illicite. La s\u00e9curit\u00e9 appropri\u00e9e doit \u00eatre appr\u00e9ci\u00e9e au regard du risque, du contexte, de l\u2019\u00e9tat de l\u2019art, des co\u00fbts de mise en \u0153uvre, de la nature des donn\u00e9es \u00e0 caract\u00e8re personnel, de l\u2019ampleur du traitement et des cons\u00e9quences possibles pour les personnes concern\u00e9es. Une promesse g\u00e9n\u00e9rale selon laquelle la s\u00e9curit\u00e9 serait \u00ab ad\u00e9quate \u00bb ne suffit pas. Le sous-traitant doit pouvoir d\u00e9montrer concr\u00e8tement quelles mesures ont \u00e9t\u00e9 prises, comment elles sont maintenues, comment les vuln\u00e9rabilit\u00e9s sont suivies, comment l\u2019acc\u00e8s est limit\u00e9, comment la journalisation est organis\u00e9e et comment la restauration est assur\u00e9e apr\u00e8s un incident. La s\u00e9curit\u00e9 n\u2019est donc pas une annexe du service, mais une condition centrale de la lic\u00e9it\u00e9 du traitement.<\/p>\n

Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, cette obligation de s\u00e9curit\u00e9 re\u00e7oit une dimension suppl\u00e9mentaire. Les donn\u00e9es \u00e0 caract\u00e8re personnel constituent souvent le carburant de la criminalit\u00e9 num\u00e9rique. Identifiants de connexion, copies de documents d\u2019identit\u00e9, donn\u00e9es financi\u00e8res, coordonn\u00e9es, informations m\u00e9dicales, dossiers RH, profils clients et donn\u00e9es de communication peuvent \u00eatre utilis\u00e9s pour le phishing, la fraude \u00e0 l\u2019identit\u00e9, le chantage, les ran\u00e7ongiciels, l\u2019ing\u00e9nierie sociale, la prise de contr\u00f4le de comptes et des attaques cibl\u00e9es contre des organisations ou des individus. Un sous-traitant qui autorise une authentification faible, applique une segmentation insuffisante, ne surveille pas les journaux, n\u00e9glige la gestion des correctifs ou contr\u00f4le insuffisamment les sous-traitants ult\u00e9rieurs augmente non seulement les risques li\u00e9s \u00e0 la vie priv\u00e9e, mais \u00e9galement les risques plus larges de criminalit\u00e9 num\u00e9rique. La s\u00e9curit\u00e9 appropri\u00e9e doit donc \u00eatre abord\u00e9e comme une combinaison de pr\u00e9vention, de d\u00e9tection, de r\u00e9ponse et de r\u00e9tablissement. La pr\u00e9vention concerne des mesures telles que le chiffrement, la restriction des acc\u00e8s, l\u2019authentification multifactorielle, la minimisation des donn\u00e9es, le durcissement et la configuration s\u00e9curis\u00e9e. La d\u00e9tection concerne la surveillance, la journalisation, l\u2019identification d\u2019anomalies et les alertes. La r\u00e9ponse concerne les proc\u00e9dures d\u2019incident, l\u2019escalade, le confinement et la pr\u00e9servation forensique. Le r\u00e9tablissement concerne les sauvegardes, les mesures de continuit\u00e9, les tests de restauration et l\u2019\u00e9valuation.<\/p>\n

Lors de la s\u00e9lection et du suivi d\u2019un sous-traitant de donn\u00e9es, le responsable du traitement doit donc appr\u00e9cier substantiellement si le niveau de s\u00e9curit\u00e9 correspond \u00e0 la nature du traitement. Les certifications, rapports d\u2019assurance, tests d\u2019intrusion, documents de politique et d\u00e9clarations de s\u00e9curit\u00e9 peuvent \u00eatre pertinents, mais ne doivent pas \u00eatre accept\u00e9s sans examen critique comme preuves suffisantes. La question demeure toujours de savoir si les mesures correspondent au traitement concret et si le sous-traitant est capable de maintenir la s\u00e9curit\u00e9 pendant toute la dur\u00e9e du service. La gestion des changements rev\u00eat \u00e9galement une importance particuli\u00e8re. De nouvelles fonctionnalit\u00e9s, des migrations, des sous-traitants ult\u00e9rieurs modifi\u00e9s, d\u2019autres lieux de stockage ou des mod\u00e8les d\u2019acc\u00e8s modifi\u00e9s peuvent transformer substantiellement le profil de risque. L\u2019obligation de s\u00e9curit\u00e9 appropri\u00e9e est donc dynamique : ce qui est d\u00e9fendable aujourd\u2019hui peut devenir insuffisant demain en raison de nouvelles menaces, de vuln\u00e9rabilit\u00e9s techniques ou de flux de donn\u00e9es modifi\u00e9s. Dans le cadre de la ma\u00eetrise de la criminalit\u00e9 num\u00e9rique, cela signifie que la s\u00e9curit\u00e9 ne peut pas se limiter \u00e0 des garanties contractuelles au moment de la signature. Une \u00e9valuation continue, des rapports, une analyse des incidents et un suivi manag\u00e9rial sont n\u00e9cessaires pour \u00e9viter que le sous-traitant de donn\u00e9es ne devienne le point faible de la protection des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n

Secret et confidentialit\u00e9<\/h4>\n

Le secret et la confidentialit\u00e9 constituent une couche fondamentale de protection dans toute relation de sous-traitance. Le sous-traitant de donn\u00e9es doit garantir que les personnes autoris\u00e9es \u00e0 acc\u00e9der aux donn\u00e9es \u00e0 caract\u00e8re personnel sont soumises \u00e0 une obligation de confidentialit\u00e9 appropri\u00e9e. Cette obligation ne concerne pas uniquement les salari\u00e9s permanents, mais \u00e9galement les collaborateurs temporaires, les sp\u00e9cialistes externes, les membres du support, les administrateurs, les d\u00e9veloppeurs, les consultants et toute autre personne susceptible d\u2019obtenir acc\u00e8s aux donn\u00e9es \u00e0 caract\u00e8re personnel par l\u2019interm\u00e9diaire du sous-traitant. La confidentialit\u00e9 d\u00e9passe une clause dans un contrat de travail ou un code de conduite g\u00e9n\u00e9ral. Elle implique une limitation r\u00e9elle de l\u2019acc\u00e8s, de la connaissance et de l\u2019utilisation. Seules les personnes ayant besoin de donn\u00e9es \u00e0 caract\u00e8re personnel pour l\u2019ex\u00e9cution du mandat peuvent se voir accorder un acc\u00e8s, et cet acc\u00e8s doit \u00eatre restreint, enregistr\u00e9 et contr\u00f4l\u00e9. Sans ces mesures, la confidentialit\u00e9 reste une garantie documentaire. Le RGPD exige que la confidentialit\u00e9 soit concr\u00e8tement int\u00e9gr\u00e9e au moyen de la gestion des autorisations, des acc\u00e8s fond\u00e9s sur les r\u00f4les, de la formation, de la journalisation, des revues d\u2019acc\u00e8s et de cons\u00e9quences disciplinaires ou contractuelles en cas de violation.<\/p>\n

La port\u00e9e de la confidentialit\u00e9 est particuli\u00e8rement importante dans les environnements num\u00e9riques o\u00f9 l\u2019acc\u00e8s aux donn\u00e9es \u00e0 caract\u00e8re personnel peut intervenir \u00e0 distance, par l\u2019interm\u00e9diaire de portails de support, d\u2019outils d\u2019administration, d\u2019API ou de comptes administratifs. Un collaborateur d\u2019un sous-traitant peut parfois acc\u00e9der en peu de temps \u00e0 de grands volumes de donn\u00e9es sensibles. Une seule faiblesse dans l\u2019autorisation, la v\u00e9rification des personnes ou la supervision peut d\u00e8s lors causer un pr\u00e9judice consid\u00e9rable. La confidentialit\u00e9 est ainsi directement li\u00e9e aux risques internes, aux violations de donn\u00e9es, \u00e0 l\u2019ing\u00e9nierie sociale et \u00e0 l\u2019abus de droits d\u2019administrateur. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, le secret doit \u00eatre reli\u00e9 \u00e0 une ma\u00eetrise plus large de la criminalit\u00e9 num\u00e9rique. Le risque ne se limite pas \u00e0 des attaquants externes p\u00e9n\u00e9trant dans les syst\u00e8mes ; l\u2019acc\u00e8s interne ou semi-interne peut \u00e9galement \u00eatre d\u00e9tourn\u00e9, obtenu sous contrainte ou insuffisamment contr\u00f4l\u00e9. Cela inclut la consultation non autoris\u00e9e, l\u2019exportation illicite, la manipulation de donn\u00e9es, la vente d\u2019informations, le traitement n\u00e9gligent de donn\u00e9es clients ou l\u2019abus de droits de support. Une obligation s\u00e9rieuse de confidentialit\u00e9 exige donc une combinaison d\u2019engagement juridique, de discipline organisationnelle et de restriction technique.<\/p>\n

Le sous-traitant doit pouvoir d\u00e9montrer que la confidentialit\u00e9 est garantie au sein de sa propre organisation et dans la cha\u00eene des sous-traitants ult\u00e9rieurs. Cela signifie que les obligations de confidentialit\u00e9 doivent \u00eatre contractuellement consign\u00e9es, mais \u00e9galement que l\u2019acc\u00e8s aux donn\u00e9es \u00e0 caract\u00e8re personnel doit \u00eatre p\u00e9riodiquement r\u00e9\u00e9valu\u00e9, que le d\u00e9part d\u2019un collaborateur doit entra\u00eener un retrait rapide des droits, que les acc\u00e8s privil\u00e9gi\u00e9s doivent \u00eatre strictement g\u00e9r\u00e9s et que les acc\u00e8s exceptionnels doivent \u00eatre journalis\u00e9s et \u00e9valu\u00e9s. La formation joue \u00e9galement un r\u00f4le important. Les personnes ayant acc\u00e8s aux donn\u00e9es \u00e0 caract\u00e8re personnel doivent comprendre quelles donn\u00e9es sont trait\u00e9es, quelles limitations s\u2019appliquent, comment reconna\u00eetre le phishing et l\u2019ing\u00e9nierie sociale, comment signaler les incidents et quelles cons\u00e9quences un traitement non autoris\u00e9 peut entra\u00eener. La confidentialit\u00e9 n\u2019est donc pas une obligation statique, mais un processus actif de ma\u00eetrise. Un sous-traitant de donn\u00e9es qui prend la confidentialit\u00e9 au s\u00e9rieux limite l\u2019acc\u00e8s \u00e0 ce qui est strictement n\u00e9cessaire, surveille cet acc\u00e8s de mani\u00e8re continue et cr\u00e9e une culture d\u00e9montrable de diligence autour des donn\u00e9es \u00e0 caract\u00e8re personnel. Cela renforce non seulement la relation de sous-traitance sur le plan juridique, mais la rend aussi plus r\u00e9siliente face aux risques de criminalit\u00e9 num\u00e9rique r\u00e9sultant d\u2019erreurs humaines, de vuln\u00e9rabilit\u00e9s internes et d\u2019abus d\u2019autorit\u00e9 op\u00e9rationnelle.<\/p>\n

Recours \u00e0 des sous-traitants ult\u00e9rieurs sous conditions<\/h4>\n

Le recours \u00e0 des sous-traitants ult\u00e9rieurs constitue l\u2019un des aspects les plus sensibles de la relation de sous-traitance, car les donn\u00e9es \u00e0 caract\u00e8re personnel ne demeurent plus exclusivement dans la sph\u00e8re op\u00e9rationnelle directe du sous-traitant principal. Chaque sous-traitant ult\u00e9rieur ajoute un nouveau maillon \u00e0 la cha\u00eene de traitement des donn\u00e9es et, avec lui, un nouveau point o\u00f9 la confidentialit\u00e9, la disponibilit\u00e9, l\u2019int\u00e9grit\u00e9, le transfert, la s\u00e9curit\u00e9 et le contr\u00f4le peuvent \u00eatre affect\u00e9s. Le RGPD exige donc qu\u2019un sous-traitant de donn\u00e9es ne puisse pas librement engager d\u2019autres sous-traitants sans autorisation pr\u00e9alable ou sans cadre contractuel garantissant le m\u00eame niveau de protection que celui pr\u00e9vu dans la relation initiale de sous-traitance. Cette exigence rev\u00eat une importance fondamentale, car le responsable du traitement ne doit pas \u00eatre plac\u00e9 devant le fait accompli d\u2019une cha\u00eene effective de fournisseurs, d\u2019h\u00e9bergeurs, de prestataires de support, de partenaires d\u2019infrastructure ou de soci\u00e9t\u00e9s \u00e9trang\u00e8res du groupe dont il n\u2019avait pas connaissance au pr\u00e9alable. Le recours \u00e0 des sous-traitants ult\u00e9rieurs modifie la nature du risque : l\u00e0 o\u00f9 il existait initialement une seule relation contractuelle, une cha\u00eene appara\u00eet, dans laquelle chaque maillon peut renforcer ou affaiblir la protection des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n

En pratique, la sous-traitance ult\u00e9rieure est souvent int\u00e9gr\u00e9e aux services num\u00e9riques modernes. Les fournisseurs cloud travaillent avec des centres de donn\u00e9es, des r\u00e9seaux de diffusion de contenu, des sites de support, des fournisseurs de s\u00e9curit\u00e9, des composants d\u2019analyse et des modules logiciels de tiers. Les plateformes SaaS peuvent s\u2019appuyer sur un h\u00e9bergement externe, des fournisseurs de messagerie, des services de journalisation, des outils de surveillance, des solutions d\u2019authentification et des prestataires de support client. Une relation de sous-traitance apparemment simple peut ainsi reposer, en r\u00e9alit\u00e9, sur une cha\u00eene internationale et techniquement stratifi\u00e9e. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, cette cha\u00eene doit \u00eatre visible, \u00e9valuable et contractuellement ma\u00eetrisable. L\u2019identit\u00e9 du sous-traitant ult\u00e9rieur n\u2019est pas le seul \u00e9l\u00e9ment pertinent ; le sont \u00e9galement la fonction exerc\u00e9e par cette partie, les cat\u00e9gories de donn\u00e9es \u00e0 caract\u00e8re personnel concern\u00e9es, le lieu du traitement, les mesures de s\u00e9curit\u00e9 mises en \u0153uvre, tout transfert \u00e9ventuel hors de l\u2019Espace \u00e9conomique europ\u00e9en, les proc\u00e9dures de notification des incidents et les possibilit\u00e9s d\u2019audit ou de v\u00e9rification. Sans ces informations, le responsable du traitement ne peut pas appr\u00e9cier si le recours au sous-traitant ult\u00e9rieur est compatible avec ses propres obligations en mati\u00e8re de protection des donn\u00e9es et avec le cadre plus large de la ma\u00eetrise de la criminalit\u00e9 num\u00e9rique.<\/p>\n

Une clause soigneusement r\u00e9dig\u00e9e relative aux sous-traitants ult\u00e9rieurs exige donc davantage qu\u2019une autorisation g\u00e9n\u00e9rale dans un contrat standard. Il importe que le responsable du traitement re\u00e7oive, \u00e0 l\u2019avance ou p\u00e9riodiquement, une liste actualis\u00e9e des sous-traitants ult\u00e9rieurs, que les modifications substantielles soient annonc\u00e9es en temps utile et que le responsable du traitement puisse s\u2019opposer lorsqu\u2019un nouveau sous-traitant ult\u00e9rieur fait na\u00eetre un risque inacceptable. Le sous-traitant principal doit \u00e9galement garantir contractuellement que chaque sous-traitant ult\u00e9rieur est li\u00e9 par des obligations \u00e9quivalentes en mati\u00e8re de s\u00e9curit\u00e9, de confidentialit\u00e9, d\u2019instructions, de r\u00e9ponse aux incidents, d\u2019effacement, de transferts et de coop\u00e9ration. La responsabilit\u00e9 d\u2019une cha\u00eene correctement ma\u00eetris\u00e9e ne s\u2019arr\u00eate pas \u00e0 la simple transmission de clauses contractuelles. Un sous-traitant de donn\u00e9es qui recourt \u00e0 des sous-traitants ult\u00e9rieurs doit pouvoir d\u00e9montrer que leur s\u00e9lection a \u00e9t\u00e9 effectu\u00e9e avec diligence, que les risques ont \u00e9t\u00e9 \u00e9valu\u00e9s, que les garanties sont surveill\u00e9es et que les d\u00e9faillances peuvent faire l\u2019objet d\u2019un suivi effectif. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, cette exigence est essentielle, car les risques de criminalit\u00e9 num\u00e9rique se mat\u00e9rialisent souvent par le maillon le plus faible d\u2019une cha\u00eene. Un sous-traitant principal solide perd une grande partie de sa valeur si un sous-traitant ult\u00e9rieur insuffisamment contr\u00f4l\u00e9 a acc\u00e8s \u00e0 des donn\u00e9es \u00e0 caract\u00e8re personnel, \u00e0 des donn\u00e9es de journalisation, \u00e0 des sauvegardes ou \u00e0 des syst\u00e8mes d\u2019administration sans garanties \u00e9quivalentes.<\/p>\n

Assistance dans l\u2019exercice des droits des personnes concern\u00e9es<\/h4>\n

Le sous-traitant de donn\u00e9es joue un r\u00f4le d\u2019assistance important dans l\u2019exercice des droits des personnes concern\u00e9es. Les droits d\u2019acc\u00e8s, de rectification, d\u2019effacement, de limitation du traitement, de portabilit\u00e9 des donn\u00e9es et d\u2019opposition peuvent, sur le plan formel, \u00eatre adress\u00e9s au responsable du traitement, mais leur ex\u00e9cution pratique d\u00e9pend souvent de syst\u00e8mes et d\u2019environnements de donn\u00e9es g\u00e9r\u00e9s par le sous-traitant. Lorsque les donn\u00e9es \u00e0 caract\u00e8re personnel sont stock\u00e9es dans des syst\u00e8mes cloud, des bases de donn\u00e9es applicatives, des environnements de sauvegarde, des portails clients, des fichiers journaux ou des syst\u00e8mes de support technique, le responsable du traitement ne peut pas traiter une demande d\u2019une personne concern\u00e9e de mani\u00e8re compl\u00e8te ou dans les d\u00e9lais requis sans la coop\u00e9ration du sous-traitant de donn\u00e9es. Le devoir d\u2019assistance du sous-traitant n\u2019est donc pas seulement accessoire ; il affecte directement l\u2019effectivit\u00e9 pratique des droits en mati\u00e8re de protection des donn\u00e9es. Un droit qui existe en droit mais ne peut pas \u00eatre ex\u00e9cut\u00e9 techniquement dans un d\u00e9lai raisonnable perd une grande partie de sa signification et peut entra\u00eener des plaintes, des risques de contr\u00f4le et une perte de confiance.<\/p>\n

Cette obligation suppose que des processus soient \u00e9tablis \u00e0 l\u2019avance. Il ne suffit pas qu\u2019un sous-traitant de donn\u00e9es examine seulement apr\u00e8s r\u00e9ception d\u2019une demande concr\u00e8te si les donn\u00e9es peuvent \u00eatre localis\u00e9es, export\u00e9es, corrig\u00e9es ou supprim\u00e9es. Les syst\u00e8mes, les processus et les arrangements contractuels doivent tenir compte d\u00e8s l\u2019origine des droits des personnes concern\u00e9es. Cela signifie que les donn\u00e9es \u00e0 caract\u00e8re personnel doivent \u00eatre localisables, que les cat\u00e9gories de donn\u00e9es doivent \u00eatre suffisamment classifi\u00e9es, que des fonctionnalit\u00e9s d\u2019exportation doivent exister, que l\u2019effacement doit \u00eatre techniquement r\u00e9alisable, que des restrictions doivent pouvoir \u00eatre appliqu\u00e9es et qu\u2019il doit \u00eatre clair quelles donn\u00e9es sont conserv\u00e9es dans les syst\u00e8mes actifs, les archives, les sauvegardes, les environnements de journalisation et les cha\u00eenes de sous-traitants ult\u00e9rieurs. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, cette op\u00e9rationnalisation rev\u00eat une importance consid\u00e9rable. L\u2019incapacit\u00e9 \u00e0 localiser ou \u00e0 corriger des donn\u00e9es en temps utile peut non seulement entra\u00eener une atteinte aux droits \u00e0 la vie priv\u00e9e, mais \u00e9galement conduire \u00e0 des d\u00e9cisions erron\u00e9es, \u00e0 des erreurs d\u2019identification, \u00e0 des processus clients sensibles \u00e0 la fraude, \u00e0 des alertes injustifi\u00e9es ou \u00e0 une augmentation des risques de criminalit\u00e9 num\u00e9rique. La qualit\u00e9 des donn\u00e9es, la tra\u00e7abilit\u00e9 et l\u2019exercice effectif des droits sont donc \u00e9troitement li\u00e9s \u00e0 l\u2019int\u00e9grit\u00e9 num\u00e9rique.<\/p>\n

L\u2019accord de sous-traitance doit pr\u00e9ciser concr\u00e8tement comment l\u2019assistance relative aux droits des personnes concern\u00e9es sera fournie, dans quels d\u00e9lais le sous-traitant de donn\u00e9es devra r\u00e9pondre, quels canaux de communication seront utilis\u00e9s, quels co\u00fbts pourront \u00e9ventuellement \u00eatre factur\u00e9s, comment la v\u00e9rification de l\u2019identit\u00e9 sera trait\u00e9e et comment il sera garanti que le sous-traitant ne prendra pas de d\u00e9cisions substantielles relevant du responsable du traitement. Le sous-traitant de donn\u00e9es doit fournir une assistance, mais ne doit pas d\u00e9cider sans instruction si une demande doit \u00eatre accept\u00e9e ou rejet\u00e9e, sauf si des arrangements contractuels sp\u00e9cifiques et des param\u00e8tres juridiques le permettent. Il doit \u00e9galement \u00eatre garanti que les demandes re\u00e7ues directement par le sous-traitant sont imm\u00e9diatement transmises ou trait\u00e9es conform\u00e9ment \u00e0 des instructions pr\u00e9\u00e9tablies. Dans un cadre correctement ma\u00eetris\u00e9, chaque demande est consid\u00e9r\u00e9e comme un test de la qualit\u00e9 des donn\u00e9es, de la conception des syst\u00e8mes et de l\u2019accountability. Lorsqu\u2019une organisation d\u00e9pend d\u2019un sous-traitant qui ne peut pas fournir d\u2019export fiable, de capacit\u00e9s de recherche cibl\u00e9e ou d\u2019effacement v\u00e9rifiable, une vuln\u00e9rabilit\u00e9 structurelle appara\u00eet. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, le sous-traitant de donn\u00e9es doit donc \u00eatre appr\u00e9ci\u00e9 au regard de la mesure dans laquelle son service technique contribue v\u00e9ritablement \u00e0 la transparence, \u00e0 la contr\u00f4labilit\u00e9 et \u00e0 la protection juridique.<\/p>\n

Coop\u00e9ration en mati\u00e8re de s\u00e9curit\u00e9, d\u2019incidents et d\u2019analyses d\u2019impact relatives \u00e0 la protection des donn\u00e9es<\/h4>\n

Le sous-traitant de donn\u00e9es doit soutenir le responsable du traitement dans le respect des obligations relatives \u00e0 la s\u00e9curit\u00e9, aux violations de donn\u00e9es, aux analyses de risques et aux analyses d\u2019impact relatives \u00e0 la protection des donn\u00e9es. Cette obligation de coop\u00e9ration d\u00e9coule de la position du sous-traitant en tant que partie disposant souvent de la visibilit\u00e9 la plus directe sur les environnements techniques, les journaux d\u2019acc\u00e8s, les configurations, les vuln\u00e9rabilit\u00e9s, les alertes syst\u00e8me, les activit\u00e9s de support et les incidents op\u00e9rationnels. Le responsable du traitement peut \u00eatre juridiquement tenu d\u2019\u00e9valuer les mesures de s\u00e9curit\u00e9, de notifier les violations de donn\u00e9es dans les d\u00e9lais ou de r\u00e9aliser une analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es, mais il a besoin pour cela d\u2019informations qui se trouvent souvent chez le sous-traitant de donn\u00e9es. Un sous-traitant qui fournit des informations insuffisantes ou tardives peut placer le responsable du traitement dans une situation o\u00f9 les d\u00e9lais l\u00e9gaux ne sont pas respect\u00e9s, les risques ne sont pas pleinement compris et les mesures correctives ne sont pas suffisamment \u00e9tay\u00e9es. La coop\u00e9ration n\u2019est donc pas une simple obligation de courtoisie, mais une condition n\u00e9cessaire d\u2019une gestion des risques licite, v\u00e9rifiable et efficace.<\/p>\n

La rapidit\u00e9 est particuli\u00e8rement importante en cas d\u2019incident de s\u00e9curit\u00e9. Une violation de donn\u00e9es ou un incident cyber peut \u00e9voluer plus vite que la d\u00e9cision juridique ne peut suivre. Les ran\u00e7ongiciels, le vol d\u2019identifiants, l\u2019acc\u00e8s non autoris\u00e9, les logiciels malveillants, les mauvaises configurations, l\u2019abus d\u2019API ou l\u2019exfiltration peuvent produire, en peu de temps, des cons\u00e9quences significatives pour les personnes concern\u00e9es et les organisations. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, il doit donc \u00eatre clair \u00e0 l\u2019avance quels \u00e9v\u00e9nements sont qualifi\u00e9s d\u2019incidents, \u00e0 quel moment l\u2019escalade est obligatoire, quelles informations le sous-traitant de donn\u00e9es doit fournir, quelles donn\u00e9es forensiques doivent \u00eatre pr\u00e9serv\u00e9es, qui est habilit\u00e9 \u00e0 communiquer, quelles mesures de confinement s\u2019appliquent et comment les preuves sont s\u00e9curis\u00e9es. Il ne s\u2019agit pas seulement de la notification formelle d\u2019une violation de donn\u00e9es, mais aussi de la qualit\u00e9 de la reconstruction factuelle. Sans journalisation, chronologie, analyse technique, appr\u00e9ciation de l\u2019impact et visibilit\u00e9 sur les jeux de donn\u00e9es concern\u00e9s, le responsable du traitement ne peut pas \u00e9valuer si une notification \u00e0 l\u2019autorit\u00e9 de contr\u00f4le ou aux personnes concern\u00e9es est requise. Le sous-traitant joue ainsi un r\u00f4le d\u00e9terminant dans le passage de la perturbation technique \u00e0 la qualification juridique.<\/p>\n

Le sous-traitant de donn\u00e9es doit \u00e9galement pouvoir fournir des informations substantielles pour les analyses d\u2019impact relatives \u00e0 la protection des donn\u00e9es et les analyses de risques plus larges. Lorsqu\u2019un traitement est susceptible d\u2019engendrer un risque \u00e9lev\u00e9 pour les droits et libert\u00e9s des personnes concern\u00e9es, une analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es peut \u00eatre n\u00e9cessaire. Le responsable du traitement en demeure le principal responsable, mais le sous-traitant doit pouvoir fournir des informations sur les fonctionnalit\u00e9s des syst\u00e8mes, les mesures de s\u00e9curit\u00e9, les flux de donn\u00e9es, la gestion des acc\u00e8s, les dur\u00e9es de conservation, les sous-traitants ult\u00e9rieurs, les transferts et les limitations techniques. Ces informations doivent \u00eatre suffisamment concr\u00e8tes pour permettre une v\u00e9ritable appr\u00e9ciation des risques. Des d\u00e9clarations g\u00e9n\u00e9rales de conformit\u00e9 ou une documentation commerciale ne suffisent pas \u00e0 cette fin. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, l\u2019analyse d\u2019impact relative \u00e0 la protection des donn\u00e9es doit \u00e9galement \u00eatre comprise comme autre chose qu\u2019une formalit\u00e9 de droit de la protection des donn\u00e9es. Elle constitue un instrument permettant d\u2019examiner syst\u00e9matiquement les risques de criminalit\u00e9 num\u00e9rique, les sc\u00e9narios d\u2019abus, les d\u00e9pendances, les vuln\u00e9rabilit\u00e9s et les capacit\u00e9s de r\u00e9ponse. Le sous-traitant de donn\u00e9es ne doit donc pas seulement r\u00e9pondre \u00e0 des questions, mais contribuer activement \u00e0 la compr\u00e9hension du fonctionnement r\u00e9el de la technologie. Un sous-traitant qui n\u2019offre aucune transparence sur des processus critiques ou qui ne peut pas fournir d\u2019informations ad\u00e9quates en mati\u00e8re d\u2019incident constitue un risque de gouvernance qui doit \u00eatre appr\u00e9ci\u00e9 avant la conclusion du contrat.<\/p>\n

Effacement ou restitution des donn\u00e9es apr\u00e8s la fin des services<\/h4>\n

Apr\u00e8s la fin des services, le sous-traitant de donn\u00e9es doit effacer ou restituer les donn\u00e9es \u00e0 caract\u00e8re personnel au responsable du traitement, selon les instructions, les arrangements contractuels et les \u00e9ventuelles obligations l\u00e9gales de conservation. Cette obligation est d\u2019une grande importance, car la fin d\u2019une relation de services ne signifie pas automatiquement que les donn\u00e9es \u00e0 caract\u00e8re personnel disparaissent effectivement des syst\u00e8mes. Les donn\u00e9es peuvent subsister dans les environnements de production, les sauvegardes, les archives, les environnements de test, les fichiers journaux, les tickets de support, les r\u00e9pliques, les exports, les stockages temporaires, les environnements de reprise apr\u00e8s sinistre ou les syst\u00e8mes des sous-traitants ult\u00e9rieurs. En l\u2019absence d\u2019arrangements de sortie clairs, le risque demeure que les donn\u00e9es \u00e0 caract\u00e8re personnel restent accessibles, vuln\u00e9rables ou conserv\u00e9es illicitement apr\u00e8s la fin de la relation. La phase de cessation constitue donc un moment critique dans le cycle de vie du traitement des donn\u00e9es. Alors que les contrats accordent souvent une attention importante au d\u00e9marrage des services, la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique exige \u00e9galement un dispositif pr\u00e9cis pour leur cl\u00f4ture.<\/p>\n

Un processus de sortie rigoureux doit \u00eatre con\u00e7u \u00e0 l\u2019avance et ne doit pas \u00eatre improvis\u00e9 lorsque la relation est d\u00e9j\u00e0 sous tension ou lorsque la r\u00e9siliation a d\u00e9j\u00e0 \u00e9t\u00e9 notifi\u00e9e. Le responsable du traitement doit pouvoir d\u00e9terminer si les donn\u00e9es \u00e0 caract\u00e8re personnel seront restitu\u00e9es, dans quel format, dans quel d\u00e9lai, par quel canal s\u00e9curis\u00e9, avec quelle v\u00e9rification et avec quelles garanties quant \u00e0 l\u2019exhaustivit\u00e9. Lorsque l\u2019effacement est requis, il doit \u00eatre clair quels syst\u00e8mes sont concern\u00e9s, comment l\u2019effacement sera ex\u00e9cut\u00e9, comment les sous-traitants ult\u00e9rieurs seront impliqu\u00e9s, comment les sauvegardes seront trait\u00e9es et comment il sera d\u00e9montr\u00e9 que les donn\u00e9es ne sont plus disponibles pour un traitement ordinaire. Les sauvegardes exigent une attention particuli\u00e8re, car leur suppression physique imm\u00e9diate peut parfois \u00eatre techniquement complexe. Dans ce cas, des arrangements doivent exister concernant l\u2019isolement, l\u2019exclusion de tout usage actif, l\u2019\u00e9crasement automatique, les dur\u00e9es de conservation et les restrictions de restauration. Sans cette pr\u00e9cision, un sous-traitant peut invoquer des limitations techniques alors que les donn\u00e9es \u00e0 caract\u00e8re personnel continuent en r\u00e9alit\u00e9 d\u2019exister plus longtemps que n\u00e9cessaire ou autoris\u00e9.<\/p>\n

L\u2019obligation d\u2019effacer ou de restituer les donn\u00e9es pr\u00e9sente \u00e9galement une importance pour la ma\u00eetrise de la criminalit\u00e9 num\u00e9rique. Les jeux de donn\u00e9es r\u00e9siduels constituent des cibles attractives pour les attaquants, en particulier lorsqu\u2019ils \u00e9chappent \u00e0 la surveillance active ou aux processus de s\u00e9curit\u00e9 r\u00e9guliers. D\u2019anciens exports, fichiers de migration, sauvegardes ou copies de test peuvent contenir des donn\u00e9es \u00e0 caract\u00e8re personnel sensibles sans que l\u2019organisation sache encore que ces donn\u00e9es existent. Cela accro\u00eet le risque de violations de donn\u00e9es, de fraude \u00e0 l\u2019identit\u00e9, d\u2019acc\u00e8s non autoris\u00e9 et d\u2019abus. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, la conservation des donn\u00e9es doit donc \u00eatre envisag\u00e9e non seulement comme une question de dur\u00e9e de conservation, mais aussi comme une question de risque. Plus les donn\u00e9es \u00e0 caract\u00e8re personnel subsistent inutilement, plus la surface d\u2019attaque s\u2019\u00e9largit et plus le maintien du contr\u00f4le devient difficile. Un sous-traitant de donn\u00e9es doit donc pouvoir d\u00e9montrer que la fin de la relation conduit \u00e0 une cl\u00f4ture ma\u00eetris\u00e9e, \u00e0 un transfert s\u00e9curis\u00e9, \u00e0 un effacement d\u00e9montrable et \u00e0 la suppression des acc\u00e8s. Un arrangement de sortie clair prot\u00e8ge non seulement la position juridique du responsable du traitement, mais emp\u00eache \u00e9galement que le traitement externalis\u00e9 des donn\u00e9es se poursuive apr\u00e8s la fin de la relation sous la forme d\u2019une vuln\u00e9rabilit\u00e9 cach\u00e9e.<\/p>\n

Capacit\u00e9 de d\u00e9monstration et disponibilit\u00e9 \u00e0 l\u2019audit<\/h4>\n

La capacit\u00e9 de d\u00e9monstration constitue la garantie de cl\u00f4ture des obligations du sous-traitant. Un sous-traitant de donn\u00e9es doit mettre \u00e0 disposition des informations suffisantes pour permettre de v\u00e9rifier le respect du RGPD et de l\u2019accord de sous-traitance. Cette obligation est li\u00e9e au principe plus large d\u2019accountability : il ne suffit pas de respecter les r\u00e8gles, encore faut-il pouvoir d\u00e9montrer ce respect de mani\u00e8re convaincante. Pour le responsable du traitement, cet \u00e9l\u00e9ment est essentiel, car la responsabilit\u00e9 formelle demeure, m\u00eame lorsque le traitement a \u00e9t\u00e9 externalis\u00e9. Sans acc\u00e8s aux informations pertinentes, il n\u2019est pas possible d\u2019\u00e9tablir si le sous-traitant de donn\u00e9es respecte les instructions, applique une s\u00e9curit\u00e9 appropri\u00e9e, g\u00e8re soigneusement les sous-traitants ult\u00e9rieurs, signale les incidents dans les d\u00e9lais, assiste \u00e0 l\u2019exercice des droits des personnes concern\u00e9es et efface correctement les donn\u00e9es apr\u00e8s la fin de la relation. La capacit\u00e9 de d\u00e9monstration n\u2019est donc pas une question administrative secondaire, mais une condition pr\u00e9alable au contr\u00f4le manag\u00e9rial et \u00e0 la d\u00e9fendabilit\u00e9 juridique.<\/p>\n

La disponibilit\u00e9 \u00e0 l\u2019audit doit \u00eatre structur\u00e9e de mani\u00e8re pratique et proportionn\u00e9e. Elle peut prendre la forme de rapports p\u00e9riodiques, de certifications, d\u2019attestations d\u2019assurance, de rapports de s\u00e9curit\u00e9, de r\u00e9sultats de tests d\u2019intrusion, d\u2019informations relatives aux analyses d\u2019impact, de listes de sous-traitants ult\u00e9rieurs, de rapports d\u2019incident, de documents de politique, de d\u00e9clarations techniques ou d\u2019audits cibl\u00e9s. La forme pr\u00e9cise d\u00e9pend de la nature du traitement, du profil de risque, de la sensibilit\u00e9 des donn\u00e9es et de la position du sous-traitant. Un traitement \u00e0 grande \u00e9chelle ou \u00e0 haut risque peut exiger une profondeur plus importante qu\u2019un soutien administratif limit\u00e9. Dans le m\u00eame temps, la disponibilit\u00e9 \u00e0 l\u2019audit ne doit pas \u00eatre vid\u00e9e de sa substance par des restrictions trop larges, par une discr\u00e9tion unilat\u00e9rale du sous-traitant ou par une documentation exclusivement g\u00e9n\u00e9rique. Un m\u00e9canisme d\u2019audit doit v\u00e9ritablement permettre au responsable du traitement d\u2019obtenir une assurance raisonnable quant \u00e0 la conformit\u00e9. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, les informations d\u2019audit ne doivent pas non plus se limiter \u00e0 des d\u00e9clarations relatives \u00e0 la vie priv\u00e9e ; elles doivent offrir une visibilit\u00e9 sur les risques de criminalit\u00e9 num\u00e9rique, les incidents de s\u00e9curit\u00e9, la gestion des acc\u00e8s, les vuln\u00e9rabilit\u00e9s, la capacit\u00e9 de restauration, les cha\u00eenes de sous-traitants ult\u00e9rieurs et les d\u00e9pendances op\u00e9rationnelles pertinentes.<\/p>\n

Une structure solide d\u2019audit et de responsabilit\u00e9 renforce l\u2019ensemble de la cha\u00eene de traitement des donn\u00e9es. Elle rend visibles les points o\u00f9 les risques apparaissent, les mesures d\u2019am\u00e9lioration n\u00e9cessaires et les arrangements contractuels devant \u00eatre renforc\u00e9s. Un sous-traitant de donn\u00e9es dispos\u00e9 \u00e0 la transparence, \u00e0 la v\u00e9rification et au suivi correctif d\u00e9montre que la protection des donn\u00e9es n\u2019est pas trait\u00e9e comme une simple obligation contractuelle, mais comme une composante de services num\u00e9riques professionnels. Pour le responsable du traitement, cela cr\u00e9e une position plus d\u00e9fendable vis-\u00e0-vis des autorit\u00e9s de contr\u00f4le, des personnes concern\u00e9es, des organes de direction, des clients et des autres parties prenantes. Une disponibilit\u00e9 insuffisante \u00e0 l\u2019audit constitue, \u00e0 l\u2019inverse, un signal d\u2019alerte s\u00e9rieux. Un sous-traitant qui refuse de donner une visibilit\u00e9 sur la s\u00e9curit\u00e9, les sous-traitants ult\u00e9rieurs, les incidents ou la conformit\u00e9 demande en r\u00e9alit\u00e9 une confiance sans contr\u00f4le. Dans un environnement marqu\u00e9 par l\u2019augmentation des risques de criminalit\u00e9 num\u00e9rique, cela est insuffisant. Dans le cadre de la Gestion int\u00e9gr\u00e9e des risques de criminalit\u00e9 num\u00e9rique, le sous-traitant de donn\u00e9es doit donc non seulement traiter les donn\u00e9es conform\u00e9ment aux instructions, mais aussi pouvoir d\u00e9montrer que ce traitement est licite, s\u00e9curis\u00e9, contr\u00f4lable et r\u00e9silient sur l\u2019ensemble de la cha\u00eene.<\/p>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Pr\u00e9vention\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n D\u00e9tection\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Enqu\u00eate\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n R\u00e9ponse\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Conseil\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Contentieux\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n N\u00e9gociation\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Le sous-traitant occupe, dans le cadre du RGPD, une position qui d\u00e9passe largement l\u2019image traditionnelle d\u2019un prestataire externe accomplissant uniquement des op\u00e9rations techniques. Dans une \u00e9conomie num\u00e9rique o\u00f9 les infrastructures cloud, les plateformes SaaS, les prestataires de services manag\u00e9s, les centres de donn\u00e9es, les fournisseurs de cybers\u00e9curit\u00e9, les syst\u00e8mes RH, les prestataires de paiement, les technologies marketing et les services sp\u00e9cialis\u00e9s d\u2019analyse portent une part substantielle du traitement op\u00e9rationnel des donn\u00e9es, le sous-traitant se situe au c\u0153ur m\u00eame de la cha\u00eene de risque num\u00e9rique. La qualification juridique de sous-traitant demeure formellement li\u00e9e au traitement effectu\u00e9 pour le compte du responsable<\/p>\n","protected":false},"author":2,"featured_media":34754,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[365],"tags":[],"class_list":["post-4395","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-confidentialite-donnees-et-cybersecurite"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/posts\/4395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/comments?post=4395"}],"version-history":[{"count":17,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/posts\/4395\/revisions"}],"predecessor-version":[{"id":34825,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/posts\/4395\/revisions\/34825"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/media\/34754"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/media?parent=4395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/categories?post=4395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/fr\/wp-json\/wp\/v2\/tags?post=4395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}