LEX INSIDE - Devoir de vigilance et prestataire numérique

B SMART

avant-hier

Devoir de vigilance et prestataire numérique avec Sonia Cissé, Associé, Linklaters.

Catégorie

🗞

News

Transcription

Afficher la transcription complète de la vidéo

00:00Musique

00:00On débute tout de suite ce Lex Inside et on va parler devoir de vigilance et prestataires numériques

00:16avec mon invité Sonia Sissé, associée chez Linkletters.

00:20Sonia Sissé, bonjour.

00:21Bonjour.

00:22On va décrypter ensemble les nouvelles obligations imposées aux entreprises et aux prestataires numériques

00:28sur le fondement du devoir de vigilance.

00:31Pour commencer, quels sont les nouveaux critères d'identification et de gestion des risques

00:36imposés par la directive CS3D aux prestataires numériques ?

00:41Alors, la directive CS3D, elle s'applique pas seulement aux prestataires numériques,

00:46mais bien aux entreprises en fonction de leur chiffre d'affaires et de leur taille.

00:51Donc typiquement, elle entre en application à compter du 24 juillet 2024.

00:57Elle est entrée en application, pardon, mais sa transposition va être graduée.

01:02Tout d'abord, elle va s'appliquer à compter de 2027 aux entreprises qui comportent plus de 5000 salariés

01:09et qui ont un chiffre d'affaires supérieur à 1,5 milliard.

01:13Puis, à compter de 2028, elle s'appliquera aux entreprises qui comportent plus de 3000 salariés

01:19et qui ont un chiffre d'affaires supérieur à 900 millions.

01:23Et enfin, en 2029, ce sera les entreprises qui comportent plus de 1000 salariés

01:32et qui ont un chiffre d'affaires supérieur à 450 millions qui seront concernées.

01:37Et donc, cette directive, elle impose donc un devoir de vigilance.

01:44Alors, il n'est pas une numérique autant que tel, il est beaucoup plus large que ça

01:50puisqu'elle impose en fait un devoir d'évaluation et de prise en compte du risque

01:56qui a un impact négatif réel ou potentiel sur les droits humains et l'environnement.

02:04Et c'est comme ça qu'elle vient capturer les prestataires numériques,

02:07également les entreprises qui font appel à ces prestataires numériques,

02:11tout simplement parce qu'à partir du moment où vous couvrez les droits humains et l'environnement,

02:17vous vous retournez directement vers vos prestataires numériques

02:21pour vous assurer qu'ils sont conformes aux standards du respect des droits de l'homme et de l'environnement.

02:27Vous regardez tout de suite vos technologies et notamment celles qui sont considérées comme extrêmement énergivores.

02:33On pense tout de suite au data center et à l'intelligence artificielle, bien sûr.

02:39Et bien entendu, également à votre système d'information lui-même.

02:44Pourquoi ? Parce que qui dit respect des droits humains fait tout de suite penser au risque cyber,

02:51risque de cybersécurité.

02:53Pourquoi ? Parce que risque de cybersécurité dit souvent violation de données à caractère personnel,

02:58atteinte aux violations des droits des données à caractère personnel,

03:03fait penser tout de suite au respect de la vie privée, aux droits humains.

03:06Et c'est comme ça que cette directive vient capturer en fait l'espace numérique.

03:11Alors on va s'intéresser justement aux conséquences pour les prestataires numériques.

03:15Concrètement, les grandes entreprises doivent-elles désormais auditer juridiquement

03:20leurs fournisseurs cloud, SaaS ou data ?

03:25Alors la réponse simple, c'est oui.

03:27Et c'est déjà le cas.

03:28Ça ne vient pas de cette directive.

03:30D'accord.

03:30Tout simplement parce que cette obligation d'audit, elle existait déjà par exemple dans le RGPD,

03:37donc le Règlement général sur la protection des données,

03:40qui imposait dans son article 28 aux responsables du traitement,

03:44c'est-à-dire les entreprises qui décidaient des moyens et des finalités

03:48d'un traitement de données à caractère personnel,

03:51d'auditer leurs sous-traitants,

03:54c'est-à-dire les entreprises avec qui elles travaillent et qui suivent leurs instructions,

03:57de manière à s'assurer que ces entreprises respectaient bien le droit des données à caractère personnel.

04:03On avait également un autre texte, DORA, qui nous est arrivé le 17 janvier 2025,

04:08qui s'applique dans le secteur financier, donc aux grands acteurs du secteur financier,

04:12mais également à leurs prestataires informatiques,

04:15et qui imposait également ces obligations d'audit,

04:18de manière à s'assurer d'une résilience opérationnelle.

04:21Et c'est intéressant puisque cette directive finalement, CS3D,

04:25elle vient ajouter un nouveau socle d'audit à ces textes déjà existants.

04:30Donc la réponse est oui, il y avait cette obligation d'audit des sous-traitants,

04:34elle est aujourd'hui renforcée.

04:35Alors vous venez d'évoquer l'environnement juridique avec de nombreux textes,

04:40comment la CS3D, la directive sur le devoir de vigilance,

04:45s'articule-t-elle avec l'ensemble des textes dans le secteur,

04:51vous l'avez dit, DORA et bien d'autres ?

04:54C'est une très bonne question parce que c'est un peu la question qu'on se pose

04:57quand on voit arriver encore un nouveau texte qui vient ajouter une surcouche de réglementation

05:02sur des règles qui sont déjà nombreuses.

05:06Tout simplement, il faut penser à une convergence numérique.

05:09La façon dont cette directive va s'imbriquer avec les autres textes existants,

05:13on a parlé de DORA, du RGPD, il y a Nice 2,

05:16et bien c'est simplement qu'elle vient les compléter.

05:18Donc en pratique, typiquement, j'ai parlé du RGPD, du droit d'audit,

05:24donc les organisations pouvaient auditer leurs sous-traitants

05:28pour s'assurer du respect du droit des données à caractère personnel.

05:31Avec la directive, il va y avoir maintenant cette obligation d'audit,

05:36mais qui va être beaucoup plus étendue.

05:38On va venir auditer tant le droit des données à caractère personnel

05:41que le respect des droits humains, que le respect de l'environnement.

05:46Sur DORA, c'est la même chose.

05:48Si vous êtes capturé à la fois par DORA parce que vous appartenez à ce secteur financier

05:53et vous êtes un prestataire IT qui opère dans le secteur financier

05:57et que vous tombez dans les seuils également de la directive CS3D,

06:02tout simplement, on va venir faire un audit.

06:05Au-delà de simplement la résilience opérationnelle,

06:08on va s'assurer également, encore une fois, du respect du droit d'humain

06:11et du respect de l'environnement au regard des technologies que vous utilisez.

06:17Donc c'est toujours se dire, cette directive, elle vient compléter,

06:21élargir un peu le champ d'audit ou les autres obligations de ces textes.

06:25D'accord. Donc on comprend avec cet environnement juridique

06:28que les entreprises s'exposent à des risques en cas de non-conformité

06:32de leurs prestataires.

06:33Quel type de sanctions ou de leviers contentieux les entreprises risquent-elles

06:39en cas de faille de cybersécurité ou de non-conformité chez un prestataire numérique ?

06:44Alors la sanction, elle est de 5% du chiffre d'affaires mondial net de l'entreprise.

06:51Alors, bien sûr, elle est à apprécier au regard de la gravité de la violation, bien sûr,

06:56des mesures correctrices qui auraient été mises en place par l'entreprise

07:00et bien entendu des antécédents. Si c'est la première fois, ce n'est pas la même chose que si c'est la troisième fois.

07:06Il y a également, bien entendu, la responsabilité tout simplement civile

07:10puisque s'il y a un incident, par exemple un incident cyber,

07:15vous n'aviez pas mis en place les mesures correctrices nécessaires

07:18ou même les mesures de prévention de manière à prévenir ce risque.

07:22Vous pouvez tout à fait avoir des individus qui se retournent vers vous en tant qu'entreprise

07:28pour manquement à vos obligations, y compris au regard de cette directive.

07:34C'était déjà le cas puisque le RGPD le permettait.

07:38Les actions de groupe, on le voit aujourd'hui, commencent à devenir de plus en plus nombreuses

07:44en Europe et également en France.

07:46Mais aujourd'hui, avec cette directive, il faut tout à fait anticiper

07:49que les actions de groupe ou individuel vont s'accélérer

07:54pour retenir la responsabilité des entreprises qui auraient manqué à leurs obligations.

07:59Alors, il faut anticiper et vous dites qu'il faut essayer de prévenir, d'éviter ces risques.

08:05Est-ce que vous avez des bonnes pratiques à recommander aux entreprises ?

08:08Bien sûr, toujours. Alors, parmi les bonnes pratiques, la toute première, bien sûr,

08:13c'est de cartographier les risques. Il est important déjà de comprendre

08:17comment les différentes réglementations fonctionnent, comment elles s'appliquent à vous

08:21et quels risques elles font peser sur votre organisation et vos activités.

08:25Une fois que vous avez cartographié vos risques, vous regardez vos prestataires,

08:31bien sûr, vous en faites une liste exhaustive et vous vous assurez que dans les contrats

08:35que vous avez mis en place avec ces prestataires, il y a des obligations renforcées,

08:40que vous avez évidemment un droit d'audit plus étendu que ce que vous aviez initialement

08:45puisque j'anticipe qu'il ne concernait que l'IT. Aujourd'hui, vous étendez votre droit d'audit

08:51également au respect des droits humains, bien entendu, et au respect de l'environnement.

08:56Vous vous assurez que ces obligations sont clairement énoncées dans le contrat.

09:00Et puis, bien entendu, et là, c'est un peu difficile sur le marché français

09:05parce qu'on le fait finalement très peu, mais il faut auditer concrètement.

09:11C'est-à-dire, soit vous vous rendez sur site dans les locaux de votre prestataire,

09:15soit à minima, vous lui demandez de vous remonter la documentation attestant de sa conformité.

09:21Et puis, en définitive, bien sûr, vous tracez tout ça.

09:25Il vous faut de la documentation qui démontrera que vous avez suivi et mis en place

09:30ce devoir de vigilance numérique.

09:32On va conclure là-dessus. Merci Sonia Cissé. Je rappelle que vous êtes associée chez Linkletters.

09:37Merci beaucoup.

09:38Tout de suite, l'émission continue. On va parler droit social et un zoom sur les forfaits jours.

Recommandations