RGPD & sous-traitance

RGPD Article 28 : comment prouver à la CNIL que votre prestataire IT est traçable

L'article 28 du Règlement général sur la protection des données est l'un des plus mal compris par les TPE et PME. Il transforme votre éditeur de logiciel en sous-traitant au sens juridique, et fait peser sur vous, le client, la responsabilité de sa traçabilité. Voici ce que cela implique en pratique.

Publié par iatko Lecture : 6 min

Pourquoi votre éditeur est juridiquement votre sous-traitant

Au sens du RGPD (article 4.8), un sous-traitant est toute personne physique ou morale qui traite des données à caractère personnel pour le compte d'un responsable de traitement. Or votre éditeur de logiciel CRM ou de facturation :

  • Héberge vos données clients (noms, adresses, numéros de téléphone, e-mails).
  • Peut techniquement y accéder pour assurer le support et la maintenance.
  • Opère parfois des sauvegardes sur son infrastructure.

Du point de vue du droit, vous restez le responsable de traitement, et l'éditeur est votre sous-traitant. La CNIL le rappelle systématiquement dans ses contrôles : c'est à vous de démontrer que votre sous-traitant respecte le RGPD, pas à votre sous-traitant de se justifier en votre nom.

Les quatre obligations clés de l'article 28.3

L'article 28 paragraphe 3 énumère les engagements qu'un sous-traitant doit prendre. Quatre sous-articles sont particulièrement scrutés en pratique lors des contrôles CNIL :

28.3.a : agir uniquement sur instruction documentée

Le sous-traitant ne doit traiter vos données que sur votre instruction explicite, et chaque action doit pouvoir être tracée à une instruction. En pratique : si un technicien de l'éditeur se connecte à votre instance, il doit y avoir un motif documenté à cette intervention.

28.3.b : confidentialité du personnel

Toute personne autorisée à traiter vos données chez le sous-traitant doit s'engager à la confidentialité, ou être soumise à une obligation légale de confidentialité. Cela couvre aussi la robustesse des accès (mots de passe forts, double authentification quand pertinent).

28.3.f : assistance pour la sécurité (Art. 32)

Le sous-traitant doit vous aider à respecter vos propres obligations de sécurité du traitement (chiffrement, journalisation, gestion des incidents). Il doit pouvoir vous fournir une preuve d'accès tracé sur demande.

28.3.h : mise à disposition pour les audits

Le sous-traitant doit mettre à votre disposition toutes les informations nécessaires pour démontrer son respect de l'article 28, et permettre la réalisation d'audits, y compris d'inspections, par vous ou un auditeur que vous mandatez.

Ce que la CNIL vérifie en pratique lors d'un contrôle

Quand la CNIL vient inspecter une PME, elle ne vous demande pas un dossier RGPD de 200 pages. Elle pose trois questions concrètes :

  1. Avez-vous un contrat de sous-traitance signé avec votre éditeur ? (DPA ou clauses contractuelles types).
  2. Pouvez-vous démontrer, journal à l'appui, qui de chez l'éditeur s'est connecté à vos données, quand, et pour quel motif ?
  3. Votre registre des traitements (Art. 30) mentionne-t-il bien votre éditeur comme sous-traitant ?

Si vous ne pouvez pas répondre à la deuxième question, vous êtes en infraction sur le 28.3.a. C'est l'angle d'attaque le plus fréquent.

À retenir

9 logiciels CRM ou de facturation sur 10 ne savent pas vous fournir un journal d'accès éditeur exploitable. Soit l'éditeur n'a pas pensé à journaliser ses propres connexions, soit le journal existe mais n'est pas accessible au client. Dans les deux cas, vous êtes exposé.

Les sanctions

Le non-respect de l'article 28 expose le responsable de traitement (vous) à une amende administrative pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Pour une TPE/PME, on est plus souvent dans le registre de la mise en demeure publique, qui reste très lourde en termes de réputation auprès des clients et partenaires.

Ce que Vethys fait pour vous sur ce point

C'est probablement le différenciateur juridique le plus défendable de Vethys. Quand iatko, l'éditeur, intervient sur votre instance pour une opération de support ou de maintenance :

  • Un motif d'intervention est obligatoirement saisi avant toute action (28.3.a).
  • Le compte iatko utilisé est unique, soumis à une politique d'authentification forte (12 caractères minimum + caractère spécial), conformément aux bonnes pratiques ANSSI niveau 1 (28.3.b).
  • Toute action est étiquetée "éditeur" dans votre audit trail, avec horodatage et nature de l'opération (28.3.f).
  • Un badge "éditeur" visible côté client signale en temps réel toute connexion iatko en cours.
  • Le filtre "acteur = éditeur" est disponible dans l'interface d'audit, vous permettant de produire en deux clics la preuve demandée par un contrôleur (28.3.h).
  • La mention de sous-traitance est auto-écrite dans votre registre RGPD article 30.

Concrètement : si la CNIL vous demande demain qui de chez iatko a touché à vos données la semaine dernière et pour quoi faire, vous avez la réponse en deux clics, motifs compris. Pas un fichier Excel à reconstituer à la main.

En pratique

Posez la question à votre éditeur actuel : "Si demain la CNIL me demande la liste exhaustive des connexions de votre équipe à mes données sur les 12 derniers mois, avec motif, vous me la fournissez dans la semaine ?" La réponse, et surtout sa rapidité, vous diront tout sur votre niveau de risque.

Voir aussi

Voir le badge éditeur en action ?

Une démo guidée par iatko, en visio.