Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/NIS2 / Securite/Sous-traitance sécurité : exigences NIS2 et RGPD pour la cha...
NIS2 / Securite

Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne d'approvisionnement

NIS2 et le RGPD imposent des exigences strictes de sécurité pour les sous-traitants. Guide des obligations contractuelles et opérationnelles.

Par Thiébaut DevergrannePublie le 16 mars 2026Mis a jour le 16 mars 202611 min de lecture
Sommaire
  1. I. Le cadre juridique : deux textes, une convergence
  2. II. Les obligations d’évaluation des fournisseurs
  3. III. Les clauses contractuelles essentielles
  4. IV. Mesures opérationnelles de gestion des risques fournisseurs
  5. V. La politique de sécurité et les sous-traitants
  6. FAQ

La sécurité de la chaîne d’approvisionnement est devenue un enjeu majeur de cybersécurité. Les attaques via les sous-traitants se sont multipliées ces dernières années : SolarWinds (2020), Kaseya (2021), MOVEit (2023) – dans chaque cas, la compromission d’un prestataire a permis d’atteindre des milliers d’organisations clientes. Le législateur européen a pris la mesure de ce risque : la directive NIS2 et le RGPD imposent désormais des obligations strictes et convergentes en matière de sécurité des relations avec les sous-traitants et fournisseurs. Cet article analyse ces obligations, les exigences contractuelles et les mesures opérationnelles à mettre en oeuvre.

I. Le cadre juridique : deux textes, une convergence

A. NIS2 : la sécurité de la chaîne d’approvisionnement comme obligation explicité

L’article 21, paragraphe 2, point d) de NIS2 impose aux entités essentielles et importantes des mesures relatives à la “sécurité de la chaîne d’approvisionnement, y compris les aspects lies à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou ses prestataires de services”.

Cette formulation est remarquablement large. Elle couvre non seulement les prestataires informatiques (hébergeurs, éditeurs, integrateurs, infogrants) mais aussi les fournisseurs non-IT dont les systèmes sont interconnectés avec ceux de l’entité. La checklist de conformité NIS2 doit intégrer un volet complet sur la gestion des risques lies aux tiers.

NIS2 precise que les mesures doivent inclure la prise en compte des vulnérabilités spécifiques à chaque fournisseur, de la qualité globale des produits et des pratiques de cybersécurité des fournisseurs, y compris leurs procédures de développement sécurisé. L’entité est donc tenue d’évaluer activement la sécurité de ses fournisseurs, pas seulement de leur demander des déclarations.

B. Le RGPD : l’article 28 et les obligations du sous-traitant

L’article 28 du RGPD encadre spécifiquement les relations entre le responsable de traitement et le sous-traitant qui traité des données personnelles pour son compte. Le responsable de traitement ne peut faire appel qu’à des sous-traitants qui “presentent des garanties suffisantes” quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées.

L’article 28 impose un contrat écrit qui stipule l’objet et la durée du traitement, sa nature et sa finalité, le type de données et les catégories de personnes concernées, ainsi que les obligations et droits du responsable de traitement. Les obligations de l’article 32 s’appliquent au sous-traitant comme au responsable de traitement : la sécurité n’est pas délégable.

C. Le Cyber Résilience Act : les produits numériques

Le Cyber Résilience Act complète ce cadre en imposant des exigences de sécurité aux fabricants de produits comportant des éléments numériques. Pour les organisations utilisatrices, cela signifie que les produits acquis auprès de leurs fournisseurs devront répondre à des standards de sécurité certifiés. Cette dimension “produits” de la chaîne d’approvisionnement était jusqu’ici peu couverte par la réglementation.

II. Les obligations d’évaluation des fournisseurs

A. Le devoir de diligence

Tant le RGPD que NIS2 imposent un devoir de diligence dans le choix et le suivi des fournisseurs. Ce devoir se traduit par trois obligations :

  1. Évaluation préalable : avant de contracter avec un fournisseur, l’organisation doit évaluer ses garanties de sécurité. Cette évaluation peut prendre la forme d’un questionnaire de sécurité, d’un audit sur site, de la vérification de certifications (ISO 27001, SOC 2, qualifications ANSSI) ou de l’examen de rapports d’audit indépendants.

  2. Contractualisation : les exigences de sécurité doivent être formalisees dans le contrat. Les clauses generiques du type “le prestataire s’engagé a assurer un niveau de sécurité adéquat” sont insuffisantes. Les exigences doivent être spécifiques et mesurables.

  3. Suivi continu : l’évaluation n’est pas un exercice ponctuel. Le niveau de sécurité d’un fournisseur peut se dégrader dans le temps. Un processus de suivi régulier doit être mis en place : revue annuelle des certifications, veille sur les incidents affectant le fournisseur, audits périodiques.

B. Méthode d’évaluation : l’approche par les risques

L’évaluation ne peut pas être identique pour tous les fournisseurs. L’analyse de risques doit categoriser les fournisseurs selon leur criticité : un fournisseur qui hébergé les données personnelles de millions de clients n’a pas le même niveau de risque qu’un fournisseur de fournitures de bureau. La méthode EBIOS RM, dans son atelier 3 (scénarios stratégiques), intègre nativement l’écosystème de l’organisation et permet d’identifier les fournisseurs qui constituent des vecteurs d’attaque potentiels.

La categorisation typique distingué trois niveaux. Les fournisseurs critiques (accès aux données sensibles, systèmes interconnectés, impact fort en cas de compromission) font l’objet d’une évaluation approfondie incluant un audit. Les fournisseurs importants (accès limite, impact modéré) font l’objet d’une évaluation standard par questionnaire et vérification de certifications. Les fournisseurs non critiques (pas d’accès aux systèmes ni aux données) font l’objet d’une évaluation simplifiée.

Des outils comme Legiscope permettent d’automatiser une partie significative de cette évaluation en centralisant les questionnaires de conformité, le suivi des garanties RGPD des sous-traitants et la documentation des mesures de sécurité. Cette automatisation est particulièrement précieuse pour les organisations qui gèrent un nombre important de sous-traitants et doivent maintenir une documentation à jour pour satisfaire aux exigences de NIS2 et du RGPD.

III. Les clauses contractuelles essentielles

A. Clauses de sécurité technique

Le contrat avec un fournisseur critique ou important doit inclure des clauses de sécurité détaillées. Les clauses minimales couvrent le chiffrement des données en transit et au repos, les mécanismes de contrôle d’accès et d’authentification forte, la politique de gestion des correctifs de sécurité (délais d’application), la gestion des journaux d’évènements (logs) et leur durée de conservation, la politique de sauvegarde et les engagements de RTO/RPO, la segmentation des environnements (isolation entre clients) et les procédures de suppression des données en fin de contrat.

B. Clauses de notification d’incidents

Le contrat doit imposer au sous-traitant l’obligation de notifier sans délai tout incident de sécurité affectant les systèmes ou les données du client. Le délai de notification doit être plus court que les délais réglementaires (24 heures ANSSI, 72 heures CNIL) pour laisser au client le temps de remplir ses propres obligations de notification. Un délai contractuel de 24 heures maximum est recommandé.

La clause doit préciser le contenu minimal de la notification, les contacts destinataires, l’obligation de coopération dans l’investigation et les mesures conservatoires à prendre immédiatement. La procédure de gestion des fuites de données de l’organisation doit intégrer les scénarios d’incident chez un sous-traitant.

C. Clauses d’audit et de contrôle

L’article 28 du RGPD donne au responsable de traitement le droit de réaliser ou de faire réaliser des audits chez le sous-traitant. NIS2 renforce ce droit en l’etendant à l’ensemble de la chaîne d’approvisionnement. Les clauses doivent prévoir le droit d’audit (sur site et à distance), la fréquence minimale des audits, la possibilité de mandater un tiers indépendant (qualifié PASSI pour les audits techniques), les délais de remédiation des non-conformités identifiées et les conséquences en cas de refus de coopérer.

Les audits de sécurité informatique des sous-traitants sont un élément central de la conformité NIS2. Ils doivent être planifiés et documentés.

D. Clauses de sous-traitance ultérieure

L’article 28 du RGPD encadre strictement la sous-traitance ultérieure (le sous-traitant qui recourt lui-même à un sous-traitant). Deux options sont possibles : l’autorisation préalable spécifique (le responsable de traitement approuvé chaque sous-traitant ultérieur) ou l’autorisation générale (le responsable de traitement autorisé le principe mais doit être informe de tout changement et pouvoir s’y opposer).

NIS2 renforce cette exigence en demandant que la sécurité soit assurée à travers toute la chaîne d’approvisionnement. En pratique, cela signifie que les exigences de sécurité imposées au sous-traitant de rang 1 doivent être répercutées aux sous-traitants de rang 2 et au-delà. La plateforme Legiscope facilité le suivi de ces chaînes de sous-traitance en permettant de documenter les relations contractuelles et les garanties associées à chaque niveau.

IV. Mesures opérationnelles de gestion des risques fournisseurs

A. Le registre des fournisseurs

L’organisation doit maintenir un registre à jour de l’ensemble de ses fournisseurs, incluant la nature des services fournis, la criticité, les données accessibles, les systèmes interconnectés, les certifications, la date du dernier audit et le niveau de risque residuel. Ce registre est un outil de pilotage essentiel et un élément de preuve en cas de contrôle.

B. La surveillance continue

Au-delà des audits périodiques, la surveillance continue des fournisseurs comprend la veille sur les incidents de sécurité publics affectant les fournisseurs (CVE, breaches), la surveillance des scores de sécurité (services de notation cyber comme SecurityScorecard, BitSight), le suivi des indicateurs contractuels (SLA, disponibilité, temps de réponse aux incidents) et la revue des rapports d’audit indépendants (SOC 2 Type II, ISO 27001). L’ENISA publié des recommandations sur la gestion des risques de la chaîne d’approvisionnement qui fournissent un cadre structuré.

C. La gestion des incidents impliquant un fournisseur

Lorsqu’un incident de sécurité survient chez un fournisseur, la gestion des incidents de l’organisation doit être activée. Le processus inclut l’évaluation de l’impact sur les systèmes et données de l’organisation, la mise en oeuvre de mesures de confinement (révocation des accès, isolation des interconnexions), la coordination avec le fournisseur pour l’investigation, la détermination des obligations de notification et la communication aux parties prenantes.

Le rôle du RSSI est central dans la gestion de ces incidents : il coordonne la réponse technique, évalué l’impact réglementaire et assure le lien avec les autorités compétentes. L’ANSSI doit être notifiée si l’entité est soumise à NIS2.

D. La clause de réversibilité et de sortie

Un aspect souvent négligé est la capacité a changer de fournisseur en cas de défaillance grave. Le contrat doit prévoir des clauses de réversibilité (transfert des données et services vers un nouveau prestataire), de portabilité des données, de délais de transition et d’assistance à la migration. Sans ces clauses, la dépendance à un fournisseur défaillant peut devenir un risque de sécurité en soi. Legiscope peut être utilise pour structurer et suivre les obligations contractuelles RGPD, incluant les clauses de sortie et de réversibilité, dans un tableau de bord centralisé.

Le cadre européen complet, incluant NIS2 et le RGPD, est consultable sur EUR-Lex.

V. La politique de sécurité et les sous-traitants

La politique de sécurité des systèmes d’information doit inclure un volet dédié à la gestion de la sécurité des tiers. Ce volet définit les critères de classification des fournisseurs, le processus d’évaluation, les exigences minimales de sécurité par niveau de criticité, la gouvernance (qui approuvé un nouveau fournisseur critique, qui revise les évaluations) et les indicateurs de suivi. L’intégration de ce volet dans la PSSI est un élément de la conformité NIS2 et un point systématiquement verifie lors d’un audit RGPD.

FAQ

NIS2 impose-t-elle d’auditer ses fournisseurs ?

NIS2 impose de prendre en compte la sécurité de la chaîne d’approvisionnement, ce qui inclut l’évaluation des pratiques de sécurité des fournisseurs. Le texte ne prescrit pas une méthode d’évaluation spécifique, mais l’audit (sur site ou à distance, par l’organisation elle-même ou un tiers) est le moyen le plus robuste de satisfaire cette exigence, en particulier pour les fournisseurs critiques. La vérification de certifications (ISO 27001) ou de rapports d’audit indépendants (SOC 2) constitue une alternative pour les fournisseurs de moindre criticité.

Comment articuler les exigences NIS2 et RGPD pour les sous-traitants ?

Les deux textes sont convergents et complémentaires. Le RGPD (article 28) impose un contrat écrit avec des garanties de sécurité et un droit d’audit pour les traitements de données personnelles. NIS2 (article 21) impose l’évaluation de la sécurité de la chaîne d’approvisionnement pour l’ensemble des systèmes. En pratique, un contrat unique peut couvrir les deux exigences en incluant les clauses requises par l’article 28 du RGPD (objet du traitement, garanties, sous-traitance ultérieure, droit d’audit) et les exigences techniques de NIS2 (chiffrement, gestion des incidents, notification).

Que faire si un fournisseur refusé de se soumettre à un audit ?

Le refus d’audit doit être un signal d’alerte. Si le contrat prévoit un droit d’audit (ce que le RGPD impose pour les sous-traitants traitant des données personnelles), le refus constitue une violation contractuelle. En l’absence de clause contractuelle, il convient de négocier l’inclusion d’un droit d’audit lors du renouvellement du contrat. Si le fournisseur refusé durablement toute transparence, l’organisation doit évaluer si elle peut maintenir la relation sans manquer à ses propres obligations de sécurité et de conformité.

Comment gérer les risques lies aux sous-traitants de rang 2 et au-delà ?

L’article 28 du RGPD impose que le sous-traitant de rang 1 répercuté les mêmes obligations de protection des données à ses propres sous-traitants. NIS2 étend cette logique à la chaîne d’approvisionnement dans son ensemble. En pratique, cela implique d’inclure des clauses de flow-down dans les contrats (obligation pour le sous-traitant de répercuter les exigences), d’exiger la transparence sur les sous-traitants ultérieurs, et de se réserver le droit d’audit à travers toute la chaîne. La visibilité diminue mécaniquement avec la profondeur de la chaîne, ce qui rend la gestion des fournisseurs critiques (qui contrôlent eux-mêmes leurs propres fournisseurs) d’autant plus importante.

Articles lies

NIS2 / Securite

SecNumCloud : la qualification ANSSI du cloud de confiance

14 avril 2026 · 11 min
NIS2 / Securite

Notification de cyberattaque : qui prévenir, quand et comment

24 mars 2026 · 12 min
NIS2 / Securite

Pénalités NIS2 : montants des sanctions et régime d'application

23 mars 2026 · 12 min