Fournisseurs
La dépendance croissante des organisations québécoises envers les fournisseurs externes transforme profondément leur exposition aux risques. Services infonuagiques, TI, SaaS, soutien technique, marketing numérique, développement applicatif ou externalisation de fonctions internes. La Loi 25 est claire : l'organisation demeure responsable des renseignements personnels qu'elle confie à un tiers, peu importe le type de service, la technologie utilisée ou le pays de traitement. Pour les PME, un fournisseur mal encadré peut rapidement devenir la source d'un incident, d'une non-conformité ou d'un préjudice pour les personnes concernées.
Les fournisseurs, surtout en mode infonuagique, disposent souvent d'un accès direct ou élargi à l'information et aux systèmes internes. Les principaux risques découlent de :
• Surutilisation ou maintien excessif des accès
• Dépendance technique difficile à superviser
• Multiplication des sous-traitants inconnus du client
• Sécurité variable selon les environnements et configurations
• Absence de journalisation ou de surveillance
• Localisation imprécise ou non validée des données
En l'absence d'encadrement contractuel et technique, l'organisation perd la maîtrise d'une partie critique de sa chaîne de traitement.
La Loi 25 impose une série d'obligations lorsqu'un renseignement personnel est communiqué à un fournisseur ou sous-traitant. Les obligations se regroupent en trois catégories.
A. Obligations préalables à la communication
• Vérifier les pratiques de sécurité du fournisseur
• Évaluer les risques associés à la communication
• S'assurer que les renseignements sont nécessaires et adéquats
• Valider la localisation, les flux et la conservation des données
• Confirmer l'existence de mesures de protection raisonnables
L'organisation doit :
B. Obligations contractuelles obligatoires
• Protéger les renseignements personnels qu'il reçoit
• Limiter leur utilisation à la prestation prévue
• Restreindre les accès uniquement aux personnes autorisées
• Informer rapidement l'organisation de tout incident
• Ne pas communiquer les données à un tiers sans autorisation
• Détruire ou anonymiser les renseignements lorsque requis
• Se conformer aux politiques internes applicables
• Encadrer ses propres sous-traitants selon les mêmes obligations
Le fournisseur doit s'engager par écrit à :
C. Obligations de supervision continue
• Surveiller les pratiques du fournisseur
• Valider périodiquement la pertinence des accès
• Revoir les configurations infonuagiques
• Documenter les décisions et les révisions effectuées
La Loi 25 ne permet pas d'externaliser la responsabilité. Le risque juridique demeure toujours du côté de l'organisation mandante.
L'organisation doit :
Dans les diagnostics effectués auprès des PME, les failles liées aux fournisseurs sont parmi les plus récurrentes :
• Absence d'inventaire des fournisseurs et sous-traitants
• Aucune vérification de la localisation des données
• Contrats incomplets ou non conformes à la Loi 25
• Accès TI non révisés et privilèges trop étendus
• Aucune validation des configurations SaaS
• Manque de journalisation ou d'auditabilité
• Absence de supervision continue
• Utilisation de solutions non approuvées par les équipes TI
• Données envoyées dans des outils non encadrés
Une part importante des incidents recensés provient de fournisseurs externes insuffisamment supervisés.
Voici les pratiques attendues dans un cadre de gouvernance moderne, conforme aux exigences de la Loi 25 et aux standards en cybersécurité.
1- Obtenir une visibilité complète et centralisée
• Maintenir un inventaire structuré et à jour des fournisseurs et sous-traitants
• Identifier les données traitées, les finalités et les flux associés
• Documenter les accès, privilèges et environnements technologiques utilisés
• Classer les fournisseurs selon leur niveau de risque (juridique, TI, opérationnel, infonuagique)
2- Structurer des clauses contractuelles essentielles
• Des obligations strictes de confidentialité et de protection des données
• Des restrictions claires d'accès, d'utilisation et de sous-traitance
• Un mécanisme formel de notification des incidents et des brèches
• Des exigences précises sur la localisation des données et des sauvegardes
• Des modalités encadrant la destruction, l'anonymisation ou le retrait des données
• Un encadrement clair de la chaîne de sous-traitance
• Des exigences techniques proportionnées au niveau de risque du service fourni
Les contrats doivent intégrer :
3- Superviser régulièrement les fournisseurs critiques
• Vérifier en continu les accès, privilèges et permissions associées
• Réviser les configurations infonuagiques et les paramètres de sécurité
• Évaluer les risques lors de tout changement technologique ou opérationnel
• Documenter systématiquement les revues, constats et décisions prises
4- Harmoniser l'encadrement avec les politiques internes
• Règles internes cohérentes et applicables à l'ensemble des fournisseurs
• Processus structuré d'approbation des nouveaux outils et services
• Cycle de vie complet des accès encadré et révisé régulièrement
• Documentation claire et traçable des décisions clés
Un fournisseur n'est pas un simple prestataire : il devient une extension directe de votre responsabilité légale.
Les environnements infonuagiques exigent un encadrement renforcé. Les pratiques essentielles incluent :
• Validation de la localisation précise du stockage, des sauvegardes et de la redondance
• Vérification du chiffrement en transit et au repos
• Analyse détaillée des configurations de sécurité du tenant (M365, Google Workspace, SaaS)
• Supervision de la journalisation, de la traçabilité et de l'auditabilité
• Examen de la segmentation entre environnements partagés et isolés
• Suivi des sous-traitants employés par le fournisseur principal
• Confirmation des mécanismes de réponse, d'escalade et d'intervention en cas d'incident
Les erreurs de configuration dans le cloud sont aujourd'hui l'une des principales causes de brèches.
Dretco aide les organisations québécoises à encadrer efficacement leurs fournisseurs grâce à une approche simple, structurée et proportionnée aux risques.
1- Inventaire et classification des fournisseurs
• Cartographie complète des fournisseurs et sous-traitants
• Analyse des risques juridiques, techniques et opérationnels
• Vision claire et exploitable pour la direction et le RPRP
2- Revue contractuelle alignée sur la Loi 25
• Définition et intégration des clauses essentielles
• Encadrement des sous-traitants et chaînes de responsabilité
• Cohérence entre les exigences juridiques et les pratiques opérationnelles
3- Évaluation de la posture de sécurité et de la configuration infonuagique
• Analyse des accès et des privilèges associés
• Revue des configurations M365, Google Workspace et autres SaaS
• Validation des flux de données et des mécanismes de protection
4- Processus d'approbation des nouveaux outils
• Analyse de risques préalable
• Vérification de la finalité et de la nécessité
• Évaluation des données traitées et des impacts pour les personnes
• Alignement avec les obligations internes et réglementaires
5- Assistance lors d'incidents impliquant un fournisseur
• Analyse de la situation et identification du point d'entrée
• Soutien aux décisions opérationnelles et juridiques
• Documentation complète et traçable des actions menées
• Gestion des notifications internes et externes lorsque requis
L'objectif : assurer une maîtrise réelle des risques externes qui touchent vos données, vos opérations et votre conformité.
L'encadrement des fournisseurs n'est pas un volet facultatif de la Loi 25. C'est un pilier essentiel de la gouvernance, de la sécurité et de la confiance numérique. Les organisations qui mettent en place un cadre rigoureux réduisent leur exposition, améliorent leur résilience et démontrent leur diligence raisonnable en cas d'incident ou d'audit.
