Sous-traitance : la certification n’est pas suffisante
Minute RGPDVidéo
« Le prestataire est certifié ISO 27001, on est tranquille. » C’est une phrase que l’on entend dans presque toutes les réunions de gouvernance IT. La certification rassure, on coche la case, et le dossier est classé. Jusqu’au jour où l’incident survient.
Le piège ? Confondre un instantané administratif avec une garantie opérationnelle. Une certification atteste qu’un système de management existe à un instant T ; elle ne dit rien de la réalité de votre relation contractuelle, ni de la réactivité réelle du prestataire face à une crise.
Comment tester le prestataire ?
Au-delà du logo commercial, le DPO doit évaluer la capacité du prestataire à répondre présent lors des deux moments de vérité d’un traitement de données :
L’incident de sécurité (ransomware, fuite de données, accès illégitime).
L’exercice d’un droit RGPD (accès, effacement, portabilité).
Pour évaluer votre sous-traitant (au sens de l’article 28 du RGPD), posez ces trois questions concrètes :
1. Qui accède aux données et comment est-ce contrôlé ?
Exigez de la précision : les comptes sont-ils nominatifs ? Le MFA (authentification multifacteur) est-il activé ? Les droits sont-ils limités au strict nécessaire ?
2. Les accès sont-ils traçables ?
En cas d’anomalie, disposez-vous de logs d’activité ? Sans traçabilité, impossible d’identifier les données compromises et de respecter votre obligation de notification à la CNIL sous 72 heures.
3. Quel est le protocole d’alerte en cas d’incident ?
Ne cherchez pas votre contact le jour du sinistre. Le canal d’alerte, le délai de prévention et le niveau d’information doivent être définis noir sur blanc dans le contrat.
Point d’attention : Un fournisseur qui répond par des formules vagues (« on verra au cas par cas », « c’est couvert par notre certification ») envoie un signal de risque majeur que vous devez documenter dans votre analyse.
Bilan : Certification vs Réalité opérationnelle
Ce qu’une certification atteste
Ce qu’elle ne garantit pas
L’existence d’un système de management de la sécurité
Que votre contrat spécifique est réellement protégé
Le respect d’un référentiel à la date de l’audit
La réactivité immédiate en cas d’incident réel
Une démarche structurée côté fournisseur
Que vous serez alerté dans les délais légaux
En conclusion : La certification est un excellent critère de sélection, mais elle ne remplace pas une évaluation contractuelle rigoureuse. La conformité ne se délègue pas à un logo.
Sous-traitant qui sous-traite : le piège de la « cascade »
Vous avez validé un prestataire. Tout est signé. Le projet avance. Et puis, un jour, vous découvrez que vos données ne transitent pas uniquement par ce partenaire soigneusement sélectionné, elles passent aussi par un hébergeur, un outil de support, une solution d'analytics, une infogérance... autant d'acteurs que personne n'a vraiment regardés.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
