Les SSII spécialisées en sécurité sont elles "bien chaussées"​ face au RGPD ?
Credit Photo : Pixabay

Les SSII spécialisées en sécurité sont elles "bien chaussées" face au RGPD ?

Les sociétés de services informatiques spécialisées en sécurité, également appelées "Managed Security Service Providers" (MSSP), connaissent le Règlement Général Européen sur la Protection des Données (RGPD). Pour cause, elles s'en servent principalement comme argument de vente, la sécurité étant un élément essentiel de l'application du règlement européen. En revanche, elles peuvent se sentir peu concernées par ces obligations pensant que la responsabilité de la protection des données repose uniquement sur les épaules du client. Les lignes qui suivent ont pour ambition de faire un point sur ces obligations et des risques inhérents à leur non-respect. Le RGPD a en effet changé la donne quant aux obligations du sous-traitant et a renforcé son niveau de responsabilité.

On peut regrouper ces obligations en 4 grandes catégories :

  1. la transparence et traçabilité des traitements ;
  2. la prise en compte des principes de protection des données (proportionnalité, minimisation, durée de rétention, etc...) ;
  3. l'obligation de garantir la sécurité et la confidentialité des données ;
  4. l'obligation d'assistance, de conseil et d'alerte.

Pour remplir ses obligations, le sous-traitant doit ainsi maitriser les grands principes du RGPD afin de conseiller son client. Il faudra, par exemple, rappeler à ce dernier l'obligation d'informer ses salariés de la finalité du traitement de données personnelles et de leurs droits par une charte informatique. D'autre part, avant de mettre en place une solution de type "Data Leak Prevention" ou de filtrage Web, le responsable de traitement doit effectuer une Etude d'Impact sur la Vie Privée ("EIVP" ou en anglais "PIA").

En mettant en place et gérant à distance des solutions de cybersurveillance, les MSSPs traitent forcément des données personnelles voire des données sensibles au sens du RGPD (données de santé, biométriques, opinions politiques, syndicales, religieuses ou orientations sexuelles). Ces prestataires sont donc directement concernés par la réglementation européenne. Se pose alors la question de savoir qui porte la responsabilité ou, autrement dit, qui décide des finalités et des moyens concernant le traitement de données personnelles ? Dans certains cas précisés par la CNIL, le sous-traitant pourra être requalifié de responsable ou co-responsable de traitement notamment selon l'expertise et l'autonomie laissées au sous-traitant, d'où l'importance de bien préciser les responsabilités dans des clauses contractuelles spécifiques.

Quels sont les risques pour le sous-traitant en cas de manquement à ses obligations ? Ils sont de 3 ordres :

  • un risque administratif et d'image. Ce qui est nouveau avec l'application du RGPD, c'est la possibilité pour l'autorité locale d'appliquer des sanctions au responsable de traitement mais aussi au sous-traitant. Ainsi, tout comme le client final, le MSSP pourrait être sanctionné par la CNIL par un avertissement public qui nuirait à l'image et à la réputation de celui-ci, mais aussi par une amende pouvant aller jusqu'à 20 millions d'euros ou 4% du CA mondial de l'exercice précédent.
  • Un risque pénal, un juge peut condamner un responsable de traitement ou un co-responsable de traitement (ou son responsable légal s'il s'agit d'une personne morale) à de la prison ferme (5 ans) et une amende allant jusqu'à 300 000 Euros.
  • Enfin, il y a un risque de droit civil pour demande en réparation. Une condamnation civile peut donner lieu à une nullité du contrat de vente et donc un remboursement du client (Cf. arrêt de la Cours de cassation du 25/06/2013).

Dans tous les cas, cela peut s'avérer critique pour la survie du MSSP concerné.

En résumé, les opérateurs de services managés en sécurité ont tout intérêt à mettre en haut de leurs priorités leur conformité au RGPD ainsi que la formation de leurs équipes techniques et commerciales avant de se retrouver pris à défaut. Cette situation pourrait réellement mettre en péril leur business en ruinant leur image, sans parler des sanctions financières. En se mettant en conformité, ils ne feraient que renforcer leur proposition de valeur et leur image de professionnel de la sécurité tout en réalisant un checkup complet de leurs procédures. Ils pourraient alors faire mentir le dicton qui dit que c'est le cordonnier qui est le moins bien chaussé !

Identifiez-vous pour afficher ou ajouter un commentaire

Autres pages consultées

Explorer les sujets