Entretien avec Philippe Gabillault, expert en protection des données, ancien directeur juridique et co-fondateur de Citizen Shield

Pourquoi ce sujet est-il au cœur de l’actualité en ce mois de juin 2021 ?

Parce qu’en juin 2021, il n’est plus possible pour une PME/ETI de remporter un marché avec une grande entreprise industrielle et commerciale, un « Grand Compte », si elle n’est pas capable de démontrer qu’elle a mis en place une gouvernance documentée et auditable en matière de protection des données.

En effet, nombreuses sont les PME/ETI, qui ont perdu des marchés ces douze derniers mois parce qu’elles avaient sous-estimées la portée de leurs réponses aux questionnaires RGPD qui accompagnaient les appels d’offre et conditionnaient l’attribution du marché, en répondant par la négative ou de façon incomplète à des questions essentielles et éliminatoires : Avez-vous une politique de sécurité des systèmes d’information ? Pouvez-vous décrire ces mesures ? Avez-vous réalisé une AIPD ? Pouvons-nous avoir une réunion avec votre DPO ?

Dans un monde où tout est devenu « digital » et « data », les rançongiciels et les cyber-attaques se sont développés, la cybersécurité et la protection des données, actif essentiel de l’entreprise, ne peuvent plus être traitées à la légère par les entreprises et plus particulièrement par les grandes entreprises industrielles et commerciales, les « Grands Comptes ».

La conséquence pour les PME/ETI est que l’acceptation en pleine conscience des clauses et questionnaires RGPD figurant en annexe des contrats et les processus de référencement des Grands Comptes, sont devenus des exercices complexes, exigeants et engageants, auxquelles certaines PME/ETI ont du mal à faire face, alors que d’autres ayant anticipé cette évolution en profitent pour leur ravir des marchés significatifs.

Pourtant ces clauses et ces questionnaires RGPD figurent déjà dans les contrats des Grands Comptes depuis mai 2018 ?

Effectivement, mais ce qui a changé en 2020/2021, c’est l’accélération de la digitalisation dans le commerce et l’augmentation des échanges vidéo (entre particuliers ou en télétravail).  Avec la multiplication des rançongiciels et des cyber-attaques, les services de conformité des Grands Comptes sont devenus plus regardants dans le référencement de leurs Prestataires, ces derniers s’étant révélé particulièrement perméables via leurs solutions en mode SAAS (Software As A Service).

Jusqu’à présent, les Grands Comptes se satisfaisaient des réponses des Prestataires qui indiquaient « oui » à toutes les questions et signaient sans les lire les clauses RGPD des contrats. Les Grands Comptes n’auditaient quasiment jamais leurs Prestataires.

Depuis quelques mois, les parcours de référencement se sont durcis, devenant parfois longs et Kafkaïens. A titre d’illustration, un de nos clients a dû compléter un questionnaire de 40 pages pour l’organisation d’un webinar pour le compte d’un grand laboratoire pharmaceutique. Ces questionnaires “Data Protection”, de plus en plus en ligne, peuvent s’accompagner d’un grand oral de contrôle des déclarations du Prestataire préalablement à la signature du Contrat, afin de s’assurer que le Prestataire a répondu en pleine conscience et connaissance.

Les parcours de référencement font donc désormais l’objet de questionnaires très poussés avec plus d’une centaine de questions, comme l’illustre les 200 questions du questionnaire 3rd party d’une société du CAC 40 (ci dessous. la première page du questionnaire).

A ces questionnaires, le Prestataire doit valider un Data Processing Agreement et un Plan d’Assurances Sécurité souvent inadapté à la nature de sa prestation.

Quels sont les principaux points à ne pas négliger par les PME/ETI dans les questionnaires Data Protection ?

D’abord, un premier conseil : ne jamais mentir, tout ce que vous écrivez pourra être retenu contre vous. Il vaut mieux répondre avec peu de détail que de s’engager sur des mesures qui ne seront jamais mises en œuvre.

Les questions les plus délicates pour le Prestataire sont celles relatives à la sécurité des systèmes d’information :

  • Avez-vous une Politique de Sécurité des Systèmes d’Information ?
  • Pouvez-vous nous décrire les mesures techniques et organisationnelles visant à garantir la sécurité des données ?
  • Avez-vous réalisé une Analyse d’Impact relative à la Protection des Données  (« AIPD ») ? Si oui, pouvez-vous nous la transmettre ?

Elles sont d’autant plus déterminantes que les réponses fournies doivent être documentées et qu’elles seront engageantes pour le Prestataire dans l’exécution du contrat.

Lorsque vous posez à un Prestataire la question « Savez-vous ce qu’est une AIPD ? », dans la grande majorité des cas, il n’en a pas la moindre idée. Et pourtant, il faut savoir qu’il a l’obligation de réaliser une telle démarche lorsque les opérations de traitement existantes sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques et pour lesquelles les risques associés ont évolué, compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

En négligeant ce volet, et plus particulièrement en étant incapable de décrire les mesures techniques et organisationnelles visant à garantir la sécurité des données, des Prestataires perdent des marchés conséquents.

Cette inquiétude des Prestataires, nous la ressentons concrètement par une augmentation significative de recours à nos services, cette fois-ci plus en amont, dans le processus de référencement et la validation de ces questionnaires et clauses RGPD.

Quel est le support dont le Prestataire a besoin ?

En tant qu’experts en protection des données, notre principale valeur ajoutée réside dans notre connaissance des Grands Comptes, de leurs attentes et niveau d’exigences, de leurs contrats et questionnaires.

Pour ma part, j’ai participé à l’élaboration de ces contrats et questionnaires RGPD pendant mes années passées à la direction juridique de l’un de ces Grands Comptes, années durant lesquelles j’ai exercé en tant que DPO et participé à la rédaction de ces contrats, leurs annexes et questionnaires si contraignants.

Ceci étant dit, maintenant que je suis passé de l’autre côté de la barrière et que j’accompagne les « Prestataires », je ne cesse d’être surpris par la qualité de la documentation contractuelle actualisée émise par les Grands Comptes, et plus particulièrement celles des banques, des laboratoires pharmaceutiques et des sociétés du luxe … c’est de la haute couture.

Concrètement, en termes de support, la principale demande des Prestataires est de disposer d’un garant à même de prendre le temps de répondre aux questions et s’assurer de la vraisemblance de leurs réponses. Cela se traduit dans la majorité des cas par la désignation d’un tiers comme Délégué à la Protection des Données (« DPO ») externalisé, qui signera la réponse, avec une double contrainte : une urgence dans le traitement de la demande et un budget qui n’est pas celui des Grands Comptes.

Concrètement, comment le Prestataire peut-il gérer cette double contrainte d’urgence et de budget ?

D’abord, lorsque le Prestataire est confronté à cette situation et que ses ressources internes, dont son DPO interne, ne lui permettent pas d’y répondre seul, il va s’efforcer de répondre par ses propres moyens avec des recours ponctuels à des tiers en matière de conformité RGPD et de sécurité des systèmes d’information (Avocats, Consultants, …).

Ensuite, en fonction des résultats obtenus, il conservera cette approche pragmatique aussi longtemps qu’il ne perdra pas de marchés. Ce n’est qu’après avoir perdu des marchés ou constaté que beaucoup d’engagements pris ne seront pas tenus, qu’il investira dans une conformité durable, en désignant un DPO externalisé expérimenté, qui sera garant des réponses et un point de passage obligatoire pour répondre aux questionnaires « Data Protection ».

 Ce DPO externalisé est en mesure d’intervenir sur le champ, de s’engager sur les réponses et les ressources et permettre au Prestataire d’être dans les crédibles dans les délais vis-à-vis du Grand Compte et de mettre en œuvre le plan de progrès permettant au Prestataire de faire face à ses responsabilités.

Mais, revenons sur le contenu de ces questionnaires, comment être efficace et pourquoi le DPO a un rôle déterminant à jouer ?

Très concrètement, il est beaucoup plus facile de répondre à ces questionnaires si l’on a déjà mis en œuvre les basiques de la conformité règlementaire (information de l’utilisateur, mesures techniques et opérationnelles), mais aussi  si l’on dispose d’une base de connaissance comprenant notamment une foire aux questions sous la forme d’un document où sont présentées les questions les plus fréquemment posées par les clients et les réponses correspondantes.

L’idéal étant de mettre en ligne cette base de connaissance en créant un centre de confiance, à l’exemple du “Trust Centre” proposé par le site Whistle B, qui propose un dispositf d’alerte professionnel en mode SAAS,  https://whistleb.com/fr/trust-centre/

ou de mettre sur le site l’ensemble de la documentation juridique, à l’exemple de la page “legal agreements” proposé par le site SmartRecruiters,  qui regroupe en toute transparence l’ensemble de la documentation nécessaire .

https://www.smartrecruiters.com/fr/legal/https://www.smartrecruiters.com/fr/legal/

N’oublions pas que la mise en place de ces basiques fait partie des missions du DPO, qui établit et maintient une documentation relative aux traitements de données à caractère personnel (dont le registre des traitements), au titre de la Responsabilité du Responsable de traitement (« Accountability ») et assure son accessibilité à l’autorité de contrôle.

Prenons pour exemple le site internet du Prestataire. Sur le plan de la conformité réglementaire, ce dernier doit notamment faire apparaître sur chacune des pages de son site, généralement en bas de page, quatre liens hypertextes permettant d’accéder à quatre documents essentiels :

  • Les Conditions Générales d’Utilisation, qui vont permettre de porter à la connaissance de l’utilisateur les conditions d’utilisation du service ;
  • La Politique de Confidentialité qui va décrire les Bases légales et finalités des traitements, Données traitées, Personnes concernées, Destinataires des données, Durée de conservation des données, Sécurité des données, Transfert de données en dehors de l’Union Européenne et les droits et leurs modalités d’exercice ;
  • La gestion des cookies qui va permettre d’accepter ou refuser les cookies non nécessaires ;
  • Les mentions légales qui permettent de savoir qui est responsable de traitement et qui est l’hébergeur des données.

Le document le plus important est la Politique de Confidentialité, qui doit impérativement être présente sur le site, facilement accessible, détaillée et lisible. C’est un gage de sérieux. Une grande partie des sujets abordés dans la Politique de Confidentialité vont permettre de répondre aux questionnaires des Grands Comptes.

Sur les plans technique et organisationnel, le Prestataire peut désormais se baser sur l’annexe 2 des nouvelles clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil, ayant fait l’objet d’une décision d’exécution (UE) 2021/914 de la commission européenne du 4 juin 2021[1), pour élaborer sa Politique de Sécurité des Systèmes d’Information (PSSI) et son Plan d’Assurance Sécurité (PAS), deux documents essentiels pour démontrer que le Prestataire est attentif à la protection des données.

Le Prestataire se doit de décrire les mesures techniques et organisationnelles en termes spécifiques (et non généraux), qui vont garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques, avec une liste de mesures possibles :

  • Mesures de pseudonymisation et de chiffrement des données à caractère personnel ; 
  • Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • Mesures garantissant de disposer de moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • Procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement ;
  • Mesures d’identification et d’autorisation de l’utilisateur ;
  • Mesures de protection des données pendant la transmission ;
  • Mesures de protection des données pendant le stockage ;
  • Mesures visant à garantir la sécurité physique des lieux où les données à caractère personnel sont traitées ;
  • Mesures visant à garantir la journalisation des événements ;
  • Mesures visant à garantir la configuration du système, notamment la configuration par défaut ;
  • Mesures pour la gouvernance et la gestion de l’informatique interne et de la sécurité informatique ;
  • Mesures de certification/assurance des processus et des produits ;
  • Mesures visant à garantir la minimisation des données ;
  • Mesures visant à garantir la qualité des données ;
  • Mesures visant à garantir une conservation limitée des données ;
  • Mesures visant à garantir la reddition de comptes ;
  • Mesures visant à permettre la portabilité des données et à garantir l’effacement.

Le DPO sera là encore le meilleur allié du Prestataire pour trouver le niveau de détail approprié pour garantir un niveau de sécurité adéquat, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement.

Le DPO permettra ainsi au Prestataire de remporter des marchés, mais surtout de protéger durablement ce qui est désormais l’un de ses principaux actifs, à savoir ses données.


[1] Publications Office (europa.eu)

3 jours pour y voir clair, 8 semaines pour réussir

Nous avons rédigé un guide complet et gratuit sur la mise en conformité RGPD. 

Voulez-vous le recevoir ?

Vous allez recevoir un email pour télécharger le livre blanc !