Incident / RGPD
Sous-traitant compromis : décisions, preuves et notification RGPD
Un incident chez un sous-traitant peut devenir votre crise : accès à des données, interruption de service, incertitude sur les volumes touchés et coordination difficile. Le scénario publié par la CNIL le 27 mai 2026 rappelle que la priorité est de clarifier les rôles, préserver les preuves et décider vite si une notification est nécessaire.
Nommer les rôles avant de décider
La première question n'est pas technique : qui est responsable du traitement, qui est sous-traitant, qui décide des moyens et qui doit notifier qui ? Cette clarification conditionne les délais, les obligations et les preuves à demander.
Un même fournisseur peut héberger, administrer, supporter ou enrichir un traitement. Chaque rôle change la lecture de l'incident.
- responsable
- sous-traitant
- DPA
- périmètre
- contact crise
Construire une chronologie exploitable
Une chronologie utile sépare détection, accès suspect, données exposées, confinement, communication fournisseur, décision interne et notification. Elle doit rester lisible par la direction, le DPO, la DSI et les équipes terrain.
Même incomplète, elle évite de perdre les premières décisions et permet de justifier les actions prises dans les délais.
- détection
- accès
- données
- confinement
- notification
- remédiation
Transformer la crise fournisseur en contrôles
Après l'urgence, les corrections doivent toucher le contrat, les accès support, les clés API, la journalisation, les sauvegardes, les tests et les délais de notification. Sans preuve de changement, l'incident reste un risque récurrent.
Le livrable attendu est un plan court : ce que le fournisseur corrige, ce que l'organisation contrôle, ce qui est accepté temporairement et ce qui bloque une reprise complète.
Terrain
Décisions, signaux et preuves à ne pas perdre
Décision
À décider
- Qui contrôle les finalités et les moyens du traitement concerné ?
- Quelles données et quelles personnes sont potentiellement touchées ?
- Le risque pour les personnes impose-t-il une notification CNIL ou une information individuelle ?
- Quelle preuve le fournisseur doit-il produire sous 24 à 72 heures ?
- Quelles clauses ou contrôles doivent changer avant de reprendre un fonctionnement normal ?
Technique
À vérifier techniquement
- Alerte fournisseur vague ou tardive
- Accès support, compte API, console cloud ou sauvegarde fournisseur compromis
- Liste de données touchées absente ou changeante
- Logs indisponibles ou conservés trop peu longtemps
- Contrat sans contact de crise, délai de notification ou exigence de preuve
Preuves
Preuves à conserver
- Contrat, DPA, périmètre de sous-traitance et contacts de crise
- Chronologie de détection, confinement, investigation et notification fournisseur
- Catégories de données, volumes estimés, personnes concernées et impacts possibles
- Journaux d'accès, exports, tickets, communications et mesures correctives
- Décision de notification CNIL, information des personnes ou justification de non-notification
Pièges
Erreurs fréquentes
- Attendre le rapport final du fournisseur avant de documenter la violation.
- Confondre indisponibilité SaaS et absence de violation de données.
- Ne pas conserver les échanges et décisions qui justifient la notification ou non-notification.
- Reprendre le service sans revoir comptes support, clés API, sauvegardes et clauses de crise.
Questions fréquentes
Faut-il notifier la CNIL dès qu'un fournisseur est compromis ?
Pas automatiquement. Il faut qualifier la violation, les données concernées, le risque pour les personnes et documenter la décision. Si le risque l'exige, la notification doit être préparée rapidement.
Que demander au fournisseur en priorité ?
Chronologie, périmètre touché, catégories de données, comptes ou clés concernés, mesures de confinement, journaux disponibles et prochaines échéances de rapport.
Sources publiques
Références utilisées sans copie de contenu
Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'AM Cyber.