La CNIL rappelle 6 bonnes pratiques pour respecter les données personnelles dans les relations de sous-traitance
Dans le cadre de sa stratégie de contrôle 2019, une des thématiques prioritaires de la CNIL concernait la répartition des responsabilités entre responsables de traitement et sous-traitants. En effet, avec l’application du RGPD, ces acteurs sont soumis à un certain nombre de nouvelles obligations.
La CNIL a ainsi réalisé des contrôles auprès de 15 fournisseurs de services et solutions informatiques en ligne. Si ces vérifications ont permis de mettre en évidence une réelle prise de conscience des nouvelles obligations pesant sur les sous-traitants, la CNIL a malgré tout souhaité rappeler quelques bonnes pratiques à adopter :
1. Déterminer le statut des acteurs impliqués
La CNIL conseille au donneur d’ordre et au prestataire de service de définir chacun leur rôle en menant ensemble une analyse, afin de pouvoir ensuite s’accorder sur leurs obligations respectives. Cependant, la CNIL alerte les organismes : cela ne signifie pas que les parties peuvent « choisir » ensemble la qualification qui les arrange.
2. Établir un contrat clair
Le responsable de traitement et le sous-traitant doivent conclure un contrat incluant plusieurs mentions obligatoires listées à l’article 28 du RGPD. La CNIL relève des points de vigilance sur deux de ces clauses :
○ La définition de l’objet, la durée, la nature et la finalité du traitement doit clairement apparaître dans le contrat de sous-traitance, car c’est cette clause qui fixe le cadre du traitement pour le sous-traitant.
○ Les conditions dans lesquelles le sous-traitant peut lui-même recourir à un sous-traitant doivent être précisées, et notamment quelle modalité d’autorisation est choisie par les parties.
3. Documenter l’activité de sous-traitance
La CNIL rappelle que le contrat doit impérativement comporter une clause selon laquelle le sous-traitant tient à disposition du donneur d’ordre toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre la réalisation d’audits.
Le sous-traitant doit également :
○ Veiller à ce que les instructions délivrées par le donneur d’ordre soient formalisées de manière écrite et les recenser afin d’être en mesure de démontrer qu’il agit sur instruction du responsable de traitement ;
○ Tenir un registre des activités de traitement effectuées pour le compte du responsable de traitement ;
○ Tenir à disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de ses obligations et permettre la réalisation d’audits.
4. Proposer des outils respectueux des données personnelles
Le sous-traitant doit offrir des garanties suffisantes pour répondre aux exigences du RGPD et doit proposer des solutions et outils respectueux des données personnelles. Pour sa part, le responsable de traitement doit veiller à recourir à des services qui incluent des fonctionnalités et outils techniques qui lui permettront d’assurer sa conformité, par exemple :
○ Une interface de recueil du consentement, si le traitement de données personnelles mis en œuvre par le responsable de traitement requiert le consentement de la personne ;
○ Un lien de désinscription automatique afin de permettre à l’utilisation de retirer son consentement à tout moment ;
○ Une interface et un modèle d’information des personnes ;
○ Un système de purge automatique des données.
5. Aider le responsable de traitement à répondre aux demandes d’exercices des droits des personnes
Le sous-traitant doit aider le responsable de traitement à répondre aux demandes d’exercice des droits qu’il reçoit. Pour cela, la CNIL rappelle l’importance d’organiser, dès la conclusion du contrat de sous-traitance, les modalités de cette assistance et de veiller à ce que la solution fournie par le sous-traitant intègre des fonctionnalités permettant de répondre à ces demandes facilement et rapidement (par exemple une interface d’exercice des droits des personnes avec un système de suivi et de répartition automatique des demandes en fonction de leur objet).
6. Garantir la sécurité des données collectées
Le responsable de traitement doit faire appel à un sous-traitant qui présente des garanties suffisantes en termes de sécurité. Le sous-traitant, quant à lui, doit assurer un niveau de sécurité suffisant au regard de la nature des données traitées.
Pour cela, la CNIL recommande notamment au responsable de traitement :
○ d’exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information (PSSI) ;
○ d’assurer et de documenter l’effectivité des garanties offertes par le sous-traitant en matière de protection des données.
Des travaux sont en cours au niveau du Comité européen de la protection des données (CEPD) sur les notions de responsable de traitement et de sous-traitant, qui permettront de préciser et compléter ces premiers rappels.
Si vous souhaitez en savoir plus sur les bonnes pratiques de la CNIL, suivez le lien :
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?