Les SSII spécialisées en sécurité sont elles "bien chaussées" face au RGPD ?
Les sociétés de services informatiques spécialisées en sécurité, également appelées "Managed Security Service Providers" (MSSP), connaissent le Règlement Général Européen sur la Protection des Données (RGPD). Pour cause, elles s'en servent principalement comme argument de vente, la sécurité étant un élément essentiel de l'application du règlement européen. En revanche, elles peuvent se sentir peu concernées par ces obligations pensant que la responsabilité de la protection des données repose uniquement sur les épaules du client. Les lignes qui suivent ont pour ambition de faire un point sur ces obligations et des risques inhérents à leur non-respect. Le RGPD a en effet changé la donne quant aux obligations du sous-traitant et a renforcé son niveau de responsabilité.
On peut regrouper ces obligations en 4 grandes catégories :
Pour remplir ses obligations, le sous-traitant doit ainsi maitriser les grands principes du RGPD afin de conseiller son client. Il faudra, par exemple, rappeler à ce dernier l'obligation d'informer ses salariés de la finalité du traitement de données personnelles et de leurs droits par une charte informatique. D'autre part, avant de mettre en place une solution de type "Data Leak Prevention" ou de filtrage Web, le responsable de traitement doit effectuer une Etude d'Impact sur la Vie Privée ("EIVP" ou en anglais "PIA").
En mettant en place et gérant à distance des solutions de cybersurveillance, les MSSPs traitent forcément des données personnelles voire des données sensibles au sens du RGPD (données de santé, biométriques, opinions politiques, syndicales, religieuses ou orientations sexuelles). Ces prestataires sont donc directement concernés par la réglementation européenne. Se pose alors la question de savoir qui porte la responsabilité ou, autrement dit, qui décide des finalités et des moyens concernant le traitement de données personnelles ? Dans certains cas précisés par la CNIL, le sous-traitant pourra être requalifié de responsable ou co-responsable de traitement notamment selon l'expertise et l'autonomie laissées au sous-traitant, d'où l'importance de bien préciser les responsabilités dans des clauses contractuelles spécifiques.
Recommandé par LinkedIn
Quels sont les risques pour le sous-traitant en cas de manquement à ses obligations ? Ils sont de 3 ordres :
Dans tous les cas, cela peut s'avérer critique pour la survie du MSSP concerné.
En résumé, les opérateurs de services managés en sécurité ont tout intérêt à mettre en haut de leurs priorités leur conformité au RGPD ainsi que la formation de leurs équipes techniques et commerciales avant de se retrouver pris à défaut. Cette situation pourrait réellement mettre en péril leur business en ruinant leur image, sans parler des sanctions financières. En se mettant en conformité, ils ne feraient que renforcer leur proposition de valeur et leur image de professionnel de la sécurité tout en réalisant un checkup complet de leurs procédures. Ils pourraient alors faire mentir le dicton qui dit que c'est le cordonnier qui est le moins bien chaussé !