Les derniers articles par Didier Caboche (tout voir)

Le RGPD (Règlement Général sur la Protection des Données), en vigueur dans l’Union Européenne depuis le 25 mai 2018, responsabilise volontairement les responsables de traitements. Le risque encouru, en cas de violation de la loi, est une amende administrative pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial de l’entreprise, le montant le plus élevé étant retenu. A cela peut s’ajouter des sanctions pénales et d’image, les faits pouvant être rendus publics.

On imagine, donc, facilement l’importance que représente cette règlementation pour les entreprises et le risque que de telles sanctions peuvent représenter.

Data Controller ou Data Processor

On parle souvent de la relation client-fournisseur comme une externalisation du risque business. Si, effectivement, on peut engager contractuellement un fournisseur sur un niveau de prestation ou de qualité de service, ce n’est pas aussi simple sur le plan de la sécurité et de la responsabilité face à la règlementation.

Dans un traitement impliquant des données personnelles, la loi fait la distinction entre deux types d’acteurs :

  • Le Data Controller (responsable de traitements), qui traite de l’information personnelle de ses utilisateurs pour son propre compte et généralement pour sa propre fin. C’est lui qui est décisionnaire sur le quoi, le comment…
  • Le Data Processor (sous-traitant des données), qui traite l’information personnelle pour le compte d’un client et donc d’un Data Controller.

La loi est claire : dans tous les cas, le Data Controller reste pleinement responsable du traitement des données. Il a l’obligation de s’assurer que le(s) Data Processor(s) réalise le traitement en toute sécurité et en respectant la règlementation.

Quelques exemples

Durant les premiers mois de l’année passée, avant même la mise en place du RGPD, trois entreprises, au moins, ont été sanctionnées par la CNIL pour des failles de sécurités informatiques introduite par des fournisseurs. Pour l’ADEF et Optique Center, il s’agissait d’une faille dans un système maintenu par un prestataire. Pour Darty, la faille était contenue dans un produit du marché, utilisé en mode en SaaS (Software as a Service), pour son SAV.

Dans l’ensemble de ces cas, ce sont bien les responsables de traitements (Data Controllers) qui ont subi la sanction et non directement les prestataires en charge de ces traitements (Data Processors).

L’engagement du Data Processor

Nous l’avons vu, le Data Controller sera responsable du traitement devant les autorisés. Dès lors, que faire pour maîtriser les risques évoqués plus haut ?

Si maintenir un contrôle opérationnel est une bonne pratique, engager contractuellement son fournisseur est primordial. Des clauses contractuelles types (CCT) sont disponibles sur le site de la CNIL. Trois parties pourront être distinguées.

  1. Les dispositions juridiques générales, engageant le fournisseur à traiter les
    données de son client uniquement selon les dispositions convenues et comprenant
    par exemple les clauses de responsabilités, d’indemnité, de sous-traitance, de délais
    de notification et d’action (pour répondre aux contraintes légales) etc.
  2. Les dispositions spécifiques, décrivant les attentes du client en termes de sécurité informatique ou non. On pourra ainsi déterminer les niveaux attendus d’authentification, d’accès (informatique et physique), de chiffrement, de sauvegarde, de destruction, de communication etc. Ces engagements pourront
    faire référence à des normes ou technologies déterminées en fonction des standards du client. Elles pourront également varier en fonction du fournisseur, la nature de leur activité pouvant influer sur le type de clause.
  3. Les dispositions pour le transfert de données à l’extérieur de l’Union
    Européenne,
    pour fixer les attentes supplémentaires, en accord avec le RGPD,
    si applicable pour le fournisseur ou ses possibles sous-traitants.

Pour les nouveaux fournisseurs, ajouter ces clauses aux contrats types sera « simple ». Cependant, pour tous les fournisseurs déjà existant, il faudra réaliser une campagne d’avenants, parfois complexe. Mais ça, nous le verrons dans notre prochain article.