Une fuite de données à caractère personnel - appelée violation de données à caractère personnel dans le RGPD - est un risque juridique conséquent pour le responsable de traitement. En effet, le responsable de traitement risque de voir sa réputation dégradée, en plus d’attirer l’attention de l’autorité de contrôle et des personnes concernées sur sa conformité RGPD. De plus, une fuite de données n’est pas sans conséquences financières, IBM [1] estimant par exemple le coût moyen d’une fuite de données en 2021 à 161 dollars par fichier.
Le recours généralisé à la sous-traitance complexifie la gestion des fuites de données par le responsable de traitement. L’article 82 du RGPD établit la responsabilité du responsable de traitement dès lors qu’il a participé au traitement ayant causé un dommage. Dès lors, le responsable de traitement se doit de gérer les fuites de données du sous-traitant avant, pendant et après son occurrence.
I. Avant la fuite de données : anticiper les risques.
La démarche de responsabilisation du RGPD requiert des entreprises de mettre en place un plan de conformité, dont l’anticipation des risques fait partie intégrante.
Concernant les fuites de données des sous-traitants, le responsable de traitement doit définir avec ses sous-traitants des obligations de notification des fuites de données, et intégrer ce scénario au sein de son plan de gestion des violation de données à caractère personnel.
L’identification des sous-traitants est essentielle pour le responsable de traitement. L’article 28 du RGPD oblige le responsable de traitement à régir sa relation avec le sous-traitant par un acte juridique (généralement, un contrat), qui doit notamment prévoir l’aide du sous-traitant dans la gestion des fuites de données par le responsable de traitement. Il est donc essentiel de prévoir, comme le recommande la CNIL, une clause établissant le délai dans lequel le sous-traitant doit notifier le responsable de traitement à partir du moment où il en a connaissance. Ce contrat doit également établir qui du responsable de traitement ou du sous-traitant est chargé d’effectuer une notification à l’autorité de contrôle.
La sous-traitance ultérieure est également prise en compte par le RGPD, le sous-traitant ne pouvant y recourir que sur autorisation du responsable de traitement.
L’article 28 est clair : le sous-traitant ne peut pas s’engager avec un sous-traitant ultérieur sans l’autorisation écrite préalable du responsable de traitement. Cette autorisation peut être spécifique à des sous-traitants particuliers. Elle peut également être générale, auquel cas le contrat comprend une obligation pour le sous-traitant d’informer le responsable de traitement de tout ajout ou remplacement de sous-traitant, et la possibilité pour le responsable de traitement d’émettre des objections à ces changements. Dès lors, le responsable de traitement est théoriquement capable de cartographier l’ensemble de ses sous-traitants directs et indirects.
Il est aussi indispensable que le responsable de traitement anticipe la procédure à suivre en cas de fuite de données. L’article 33 relatif à l’obligation de notification de l’autorité de contrôle en cas de violation de données prévoit que le responsable de traitement notifie la fuite de données « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Dès lors, il est recommandé que le délégué à la protection des données (DPO) communique à l’ensemble des services concernés la procédure à suivre en cas de violation de données, en incluant le scénario de la fuite de données d’un sous-traitant.
Enfin, il est conseillé d’inclure, au sein de son assurance cybersécurité, l’hypothèse d’une fuite de données provenant d’un sous-traitant.
II. Pendant la fuite de données : limiter les dégâts.
Dès qu’un responsable de traitement a connaissance d’une fuite de données, il se doit de sécuriser ses opérations (par exemple, empêcher toute perte additionnelle de données et recueillir des preuves concernant la fuite de données), réparer les vulnérabilités et notifier l’autorité de contrôle, et le cas échéant les personnes concernées et les partenaires du responsable de traitement qui risquent d’être victime de la fuite de données.
Afin d’effectuer l’ensemble de ces actions, le responsable de traitement doit identifier la source de la fuite de données. Lorsque la violation de données implique un sous-traitant, le responsable de traitement et le sous-traitant doivent coopérer pour rechercher la source de la violation de données afin de pouvoir limiter les dégâts au plus vite. Il est dès lors indispensable pour le délégué à la protection des données de disposer de points de contacts concernant l’ensemble de ses sous-traitants (souvent le DPO).
Dès la survenance d’une violation de données, les équipes de direction du responsable de traitement et du sous-traitant doivent être notifiées afin de mettre en commun un plan de réparation de la fuite de données (mise en place de canaux de communication privilégiés avec les sous-traitants, enquête sur la source de la fuite de données etc.). Les services concernés par le plan de réparation doivent ensuite être alertés afin d’exécuter les actions qui leur sont confiées, actions qui doivent être priorisées selon une approche d’évaluation des risques. Une fois les informations nécessaires recueillies, le responsable de traitement pourra notifier l’autorité de contrôle, puisqu’une telle notification nécessite de décrire la nature de la violation de données, ses conséquences probables et les mesures prises ou à prendre pour remédier à la violation de données à caractère personnel.
Si la violation nécessite de notifier les personnes concernées de la fuite de données, il est conseillé que le responsable de traitement et le sous-traitant établissent un canal de communication privilégié pour aider les victimes de la fuite de données, afin que ces dernières puissent implémenter des mesures de sécurité correctives (changement de mot de passe, opposition sur les cartes de crédit etc.).
Le responsable de traitement doit également orchestrer l’exécution du plan de réparation de la fuite de données. La coopération du sous-traitant est alors nécessaire pour isoler les systèmes compromis, évaluer et limiter les dommages ou encore conserver les preuves électroniques relatives à la violation de données (il est généralement conseillé aux responsables de traitement de porter plainte en cas de cyberattaque). Il convient au responsable de traitement de documenter l’ensemble de ces opérations.
III. Après la fuite de données : évaluer et apprendre.
Une fuite de données peut constituer un bon indicateur d’une faille dans la politique de protection des données : elle peut, dans notre exemple, être l’occasion de détecter une faille de sécurité importante chez le sous-traitant.
Le partage de responsabilité entre le responsable de traitement dépendra du contrat établi entre le responsable de traitement et le sous-traitant. La CNIL [2] a déjà établi qu’une violation de données provenant d’un sous-traitant qui ne respecterait pas les instructions du responsable de traitement relevait de la responsabilité du sous-traitant. Au contraire, si la fuite de données résulte d’une faille de sécurité que le responsable connaissait ou aurait pu raisonnablement anticiper, le responsable de traitement et le sous-traitant seront conjointement responsables au titre de l’obligation de vérifier que le sous-traitant présente des garanties suffisantes en matière de protection des données.
La violation de données est l’occasion pour le sous-traitant de réaffirmer son engagement en matière de protection des données. Ainsi, la violation de données peut amener le responsable de traitement à réévaluer le budget destiné à la protection des données et à la cybersécurité, réévaluer les garanties présentées par ses sous-traitants, affiner sa procédure en cas de violation de données, et former son personnel.