Skip to content

Une unité métier veut transmettre des données personnelles clients à un nouveau fournisseur SaaS dès la semaine prochaine. Qu'exige d'abord l'architecte ?

Réponse courte

Transmettre des données personnelles à un tiers étend votre périmètre de confiance ; menez donc d'abord une évaluation de sécurité du fournisseur — traitement des données, chiffrement, contrôles d'accès, certifications comme SOC 2 / ISO 27001, sous-traitants, modalités de notification de violation — et signez un accord de traitement des données (DPA) avant tout transfert. Un contrat de prix ou la parole verbale d'un commercial n'est pas une diligence raisonnable. Et un « site web soigné » ne dit rien sur la façon dont le fournisseur protège réellement les données ; vous en restez responsable.

Confier des données personnelles clients à un nouveau fournisseur SaaS est une décision de risque tiers, non une formalité d'achat. Dès que les données quittent votre périmètre, la posture de sécurité du fournisseur fait partie de la vôtre — mais la responsabilité de ces données reste la vôtre. Le rôle de l'architecte est d'insérer la diligence raisonnable avant le transfert, pas après.

Ce que l'évaluation doit couvrir

Une véritable évaluation de sécurité du fournisseur demande, concrètement :

  • Traitement et localisation des données. Où les données personnelles sont-elles stockées et traitées ? Qui peut y accéder ?
  • Chiffrement en transit et au repos, et gestion des clés.
  • Contrôles d'accès — MFA, moindre privilège, séparation des administrateurs, journalisation.
  • Assurance indépendante — SOC 2 Type II à jour, ISO 27001 ou équivalent, examiné (et pas seulement revendiqué).
  • Sous-traitants — qui d'autre touche les données en aval, et selon quelles modalités.
  • Notification de violation — à quelle vitesse et par quel canal ils vous préviendront.

Puis un accord de traitement des données (DPA) codifie ces obligations par contrat — finalité du traitement, mesures de sécurité, encadrement des sous-traitants, délais de notification et suppression à la sortie — avant l'envoi d'un seul enregistrement. Sous des réglementations comme le RGPD, ce n'est pas optionnel.

Pourquoi les mauvaises réponses sont fausses

« Rien — le fournisseur a un site web soigné » confond le vernis marketing avec la maturité sécurité ; une interface léchée ne dit rien sur la protection des données derrière. « Juste un contrat signé sur le prix » traite le commercial, pas la sécurité ni la protection des données — vous avez convenu du montant à payer, pas de la façon dont les données de vos clients sont protégées. « Une assurance verbale du commercial » est invérifiable, non contraignante, et exactement ce qu'un commercial est incité à donner, indépendamment de la réalité.

Ce que sonde l'examinateur

Il veut une maturité de gouvernance : l'instinct de traiter les fournisseurs comme une extension de votre surface d'attaque, la connaissance des preuves précises à exiger (certifications, DPA, modalités de violation) et la discipline de bloquer le transfert tant que la diligence n'est pas faite. Une bonne réponse la relie à la responsabilité — régulateurs et clients vous tiennent pour responsable des données personnelles, même quand c'est un tiers qui les perd.

Questions de suivi probables

  • Quelle est la différence entre un rapport SOC 2 Type I et Type II, et lequel voulez-vous ?
  • Que doit préciser un accord de traitement des données sous des réglementations comme le RGPD ?
  • Comment gérez-vous les sous-traitants du fournisseur et le risque qu'ils introduisent ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.