Recourir à un sous-traitant – par hypothèse, spécialisé dans le domaine d’activité sur lequel il opère – permet à la fois de réaliser des économies d’échelle et de partager un risque. En théorie, tout du moins. Dans la pratique, ce que l’on peut parfois constater, ce sont des entreprises qui cherchent autant à réduire leurs charges qu’à transférer une problématique à un tiers, ce sont des sous-traitants qui rédigent des contrats minimisant les capacités de contrôle de leur donneur d’ordre, ce sont des entreprises qui exigent des clauses d’audit très exigeantes, mais qui s’avèrent rapidement n’être que des tigres de papier.
La pratique permet d’établir un top 5 des meilleurs moyens de ne pas contrôler efficacement ses sous-traitants et de les mettre en rapport avec de récents textes relatifs à la protection des données, comme le Règlement Général relatif à la Protection des Données (RGPD) et la directive Solvabilité II.
Erreur n° 1 – Contractualiser avec un sous-traitant sans avoir évalué le risque que représentait cette relation
La loi Informatique et Libertés et le RGPD insiste sur la nécessité pour le responsable de traitement de vérifier que tout sous-traitant présente des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». L’article 49 de la directive Solvabilité II adopte une tournure négative, en listant les conséquences auxquelles la sous-traitance d’une activité ne doit pas aboutir.
Ce faisant, le législateur communautaire a rejoint les rédacteurs de l’ISO27001 qui, en ses articles A.7.1 et A.15.1.1, recommande de réaliser des vérifications concernant le respect des lois, des règlements et de l’éthique par le candidat et de s’assurer que le sous-traitant répond aux exigences de la Politique de sécurité de l’information dans les relations avec les fournisseurs qu’une entité candidate à la certification ISO27001 n’aura pas manqué de mettre en place.
La norme ISO, si elle paraît amplement plus précise ici que le droit de la protection des données ou la directive Solvabilité II, ne semble en fait qu’être plus explicite que les lois.
Erreur n° 2 – Laisser le service Achats conclure/modifier seul les contrats
Certaines entreprises disposent d’un service dédié aux achats. Une erreur classique consiste à laisser ledit service gérer seule la contractualisation avec les sous-traitants, sans prise en compte des observations des opérationnels et sans analyse préalable du risque de sécurité que peut représenter un sous-traitant déterminé. Ce faisant, les entreprises du secteur bancaire et assurantiel et celles externalisant une activité de traitement de données personnelles contreviennent aux dispositions de l’article 28§1 du RGPD et 41§3 de la directive Solvabilité II, l’un et l’autre de ces textes imposant d’analyser le risque inhérent à la sous-traitance. Ce faisant, les textes législatifs coïncident avec l’obligation faite à tout candidat à la certification ISO27001 d’avoir mis en place une Politique de sécurité de l’information dans les relations avec les fournisseurs déterminant les exigences de sécurité auxquelles le sous-traitant doit répondre.
Erreur n° 3 – Reposer exclusivement sur ses CGA, sans prise en considération des CGV des sous-traitants
Moyennes et grandes entreprises mettent fréquemment en place des conditions générales d’achat (CGA), destinées à faciliter la gestion de leurs relations contractuelles avec leurs fournisseurs et sous-traitants. Si ce document écrit répond formellement à l’impératif de contractualisation avec ces derniers, un trou dans la raquette demeure avec l’existence de conditions générales de vente (CGV) propres au prestataire. Celles-ci, qui prévoient fréquemment leur opposabilité totale ou partielle à l’acheteur, peuvent ainsi priver d’effet des clauses fondamentales des CGA, introduisant ainsi un risque juridique et opérationnel majeur pour le donneur d’ordre.
Ce risque pourrait être réduit, voire écarté, si celui-ci avait étudié les CGV de son cocontractant, avant d’externaliser l’activité, pour s’assurer de sa bonne compréhension de son rôle et de ses responsabilités, comme le prévoit l’article A.7.1 de l’ISO27001.
Erreur n° 4 – Ne pas insérer des clauses d’audit, de confidentialité et de non-exploitation ou les avoir mal construites
Bien connue de la pratique, la clause d’audit permet au donneur d’ordre de contrôler le respect de ses obligations contractuelles par le prestataire aux moyens d’inspection sur place. La clause de confidentialité tend à assurer que les informations remises au sous-traitant ne seront pas divulguées, tandis que la clause de non-exploitation lui interdit de les réutiliser pour son propre compte.
Chacune de ces clauses est d’ores et déjà imposée par la loi Informatique et Libertés, et le RGPD reprend évidemment cette obligation, en son article 28§3, tandis que la directive Solvabilité 2 les rend nécessaires en matière bancaire et assurantielle.
L’article A.15.2.1 de l’ISO27001 ne laisse pas de place au doute, quant à la nécessité de ces clauses, en imposant aux organisations de « vérifier et auditer à intervalles réguliers la prestation des services assurés par les fournisseurs ».
Erreur n° 5 – Imposer des mesures de sécurité ou des clauses en sachant qu’elles seront inapplicables
Le RGPD et la directive Solvabilité II imposent pour le premier au responsable de traitement, pour le second aux banques et organismes d’assurance de contractualiser les mesures de sécurité devant être respectées par les sous-traitants. Ces deux dispositions se bornent en fait à transposer en droit l’article A.15.1.2 de la norme ISO27001, textes conditionnant l’obtention d’une certification à une contractualisation des exigences de sécurité en matière d’accès, de traitement, de stockage, de communication de données ou de fourniture de composants du système d’information.
Indiquer dans un ou plusieurs contrats types des mesures de sécurité génériques ou extrêmement précises consistent une erreur classique. Outre le risque d’obsolescence de ces mesures, l’absence d’adaptation des mesures à l’activité sous-traitée et au prestataire retenu tend à suggérer que ces clauses ont un caractère purement formel, déclaratoire.
Un contrat respectueux des articles 49 de la directive, 28§1 du RGPG et A.15.1.2 de l’ISO27001 doit donc d’une part adapter les mesures de sécurité – le corps du contrat devrait donc renvoyer à une annexe rédigée sur-mesure – d’autre part prévoir une révision régulière de ces mesures, pour s’assurer qu’un sous-traitant ne pourrait pas se prévaloir de la conformité au contrat pour se dédouaner de sa responsabilité du fait du maintien de mesures de sécurité obsolètes.
Ce top 5 des erreurs à ne pas commettre pour assurer un contrôle efficace des sous-traitants permet de mettre en évidence un alignement des textes de loi les plus récents avec les bonnes pratiques définies dans la norme ISO27001.
On peut s’interroger quant aux raisons d’un tel alignement, mais c’est une autre histoire.