Points clés
- En cas d'incident impliquant un prestataire tiers, les responsabilités sont partagées entre l'organisation cliente et le prestataire selon des règles qui varient selon le cadre réglementaire et les termes contractuels.
- L'organisation cliente ne peut pas déléguer sa responsabilité réglementaire : elle reste responsable des données de ses clients et de la conformité de ses services, même lorsque l'incident origine chez un tiers.
- RGPD : l'organisation reste responsable du traitement des données confiées à un sous-traitant ; la défaillance du sous-traitant n'est pas un exonératoire de responsabilité.
- Les tribunaux ont progressivement établi que les organisations ont un devoir de diligence dans la sélection et la surveillance de leurs prestataires (duty of care in vendor selection).
- NIS2 prévoit des sanctions contre les entités essentielles dont les incidents résultent d'une insuffisance dans la gestion de leur chaîne d'approvisionnement.
La question des responsabilités en cas d'incident prestataire est l'une des plus complexes de la gestion des risques numériques. Les organisations ont tendance à penser que, parce que l'incident s'est produit chez un tiers, leur responsabilité est limitée. La réalité juridique et réglementaire est différente : l'organisation cliente conserve des responsabilités substantielles, et son degré de diligence dans la sélection et la surveillance du prestataire sera examiné par les régulateurs et les tribunaux.
Cette réalité impose de traiter la gestion des prestataires comme une composante de la gouvernance des risques de l'organisation — avec les ressources, les processus et la documentation qui s'imposent — et non comme une activité secondaire déléguée aux équipes achats.
La responsabilité du responsable de traitement
Au sens du RGPD, l'organisation qui confie des données personnelles à un prestataire reste responsable de traitement. Le prestataire est un sous-traitant. En cas d'incident chez le sous-traitant exposant les données, le responsable de traitement — l'organisation cliente — a l'obligation de notifier la CNIL et les personnes concernées. Il doit également démontrer qu'il avait mis en place des garanties suffisantes vis-à-vis de son sous-traitant — notamment via un DPA conforme RGPD et des vérifications appropriées.
Un responsable de traitement qui ne peut pas démontrer ces garanties s'expose à des sanctions de la CNIL, indépendamment du fait que l'incident soit survenu chez le sous-traitant.
La responsabilité contractuelle et civile
Sur le plan contractuel, les clauses de responsabilité entre l'organisation cliente et le prestataire définissent les recours disponibles en cas d'incident. Ces clauses doivent être négociées avec soin : des plafonds de responsabilité trop bas pour le prestataire peuvent laisser l'organisation cliente avec des pertes non couvertes après un incident majeur. Les assurances cyber, tant du côté du prestataire que de l'organisation cliente, jouent un rôle croissant dans la couverture des pertes associées aux incidents prestataires.
La responsabilité civile délictuelle — en dehors du cadre contractuel — peut également être invoquée si l'organisation cliente peut démontrer qu'elle a subi un préjudice en raison d'une faute du prestataire. Ces actions sont longues et incertaines, ce qui confirme l'intérêt d'une prévention rigoureuse.
Le devoir de diligence dans la sélection des prestataires
La jurisprudence américaine et européenne a progressivement établi un devoir de diligence dans la sélection et la surveillance des prestataires. Des organisations ont été condamnées ou sanctionnées non pas parce qu'elles avaient directement causé un dommage, mais parce qu'elles avaient choisi un prestataire insuffisamment sécurisé pour traiter des données sensibles, ou parce qu'elles n'avaient pas exercé une surveillance suffisante de ce prestataire. Ce développement jurisprudentiel renforce l'obligation de mettre en place un programme formel de gestion du risque tiers.
Un sous-traitant d'Uber a accédé sans autorisation à une base de données de conducteurs hébergée sur AWS, exposant les données de 50 000 conducteurs. Uber a été sanctionné par la FTC et plusieurs États pour ne pas avoir mis en place de contrôles d'accès adéquats sur les données confiées à son sous-traitant. La responsabilité d'Uber a été engagée malgré que l'accès non autorisé ait été effectué par un tiers — parce qu'Uber n'avait pas exercé une surveillance suffisante des accès à ses données.
L'ICO britannique a sanctionné British Airways pour une violation de données issue d'une compromise de son prestataire de traitement des paiements, qui avait injecté un code malveillant dans le site web de BA pour voler les données de cartes bancaires de 500 000 clients. Bien que l'attaque ait été réalisée via un prestataire, la sanction a été infligée à British Airways — au motif que BA n'avait pas mis en place les mesures de sécurité appropriées pour superviser ses prestataires et protéger les données de ses clients.
La Personal Data Protection Commission de Singapour a sanctionné à la fois une organisation de soins de santé et son prestataire IT dans une affaire de violation de données de patients. La PDPC a établi que l'organisation de santé avait failli à son devoir de diligence dans la supervision des pratiques de sécurité de son prestataire IT, et que le prestataire avait manqué à ses obligations de protection des données. Les deux entités ont reçu des sanctions individuelles — illustrant le principe de responsabilité partagée dans les incidents impliquant des tiers.