Le RGPD consacre des statuts bien définis pour les acteurs qui traitent des données personnelles. Mais dans la pratique les choses se compliquent. Certains prestataires informatiques ont de nombreuses casquettes. Se pose alors la question de la qualification. Sont-ils tous nécessairement sous-traitant au sens du RGPD ? Lorsqu’ils le sont, comment s’assurer qu’ils sont conformes ? Quelles sont les obligations qui s’imposent au responsable de traitement ?
Il faut d’abord bien se poser la question de la qualification de ses prestataires informatiques. Tous n’auront pas la casquette de sous-traitant au sens du RGPD. Or la qualification de son prestataire est une étape cruciale qui ne doit pas être négligée, car c’est cette étape qui va permettre de déterminer les obligations qui seront imposées au prestataire.
Prenons l’exemple d’un éditeur de solution logicielle hébergée sur les serveurs du responsable de traitement. Dans un tel cas, le prestataire ne sera pas sous-traitant au sens du RGPD dans la mesure où il n’effectue aucun traitement de données personnelles. Celles-ci sont stockées sur les serveurs du responsable de traitement et, de fait, l’éditeur n’y a pas accès. Attention cependant à bien prendre en compte les opérations annexes, telles que la maintenance effectuée par l’éditeur. Ces opérations, qui nécessitent une opération de traitement, devront être encadrées, par exemple par un engagement de confidentialité.
En revanche, si les fournisseurs d’applications SaaS effectuent des opérations de traitement de données personnelles pour le compte d’un responsable de traitement, qu’ils opèrent le stockage et qu’ils ont accès aux données personnelles confiées, alors ils auront souvent la qualité de sous-traitant.
Il en est de même pour les hébergeurs de site internet, dès lors qu’ils ont les mêmes prérogatives. La Cour d’Appel de Paris a d’ailleurs estimé dans un arrêt du 1er mars 2019 que ceux-ci ne pouvaient pas être considérés comme responsables de traitement des données personnelles.
Pour autant, certains prestataires ont parfois une telle indépendance que la qualification de sous-traitant n’est plus adaptée. Il faudra envisager par exemple :
Ces éléments opérationnels doivent être pris en compte pour définir le rôle du prestataire, qui n’est pas systématiquement sous-traitant, mais qui peut parfois être responsable de traitement ou responsable conjoint. Or l’étape de la qualification va permettre de définir les obligations contractuelles de chacun : un sous-traitant aura beaucoup plus d’obligations qu’un responsable de traitement, et à juste titre. Pour autant, il n’y a pas lieu d’imposer toutes ces obligations à un consultant RGPD si ce n’est pas justifié. Les partenaires doivent faire preuve de bon sens et à faire l’effort d’analyser la prestation sous peine de risquer la requalification de tous leurs contrats.
Lorsqu’il est établi que le prestataire informatique est bien un sous-traitant au sens du RGPD, deux obligations principales s’imposent alors au responsable de traitement :
La première obligation, préalable à la phase de contractualisation, est celle de la sélection. Le responsable de traitement doit faire « uniquement appel à des sous-traitant qui présentent les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (art. 28 1° RGPD)
Si dans la pratique il est évident que le niveau de conformité à la règlementation en matière de protection des données personnelles ne sera pas le seul élément pris en compte dans le choix d’un nouveau prestataire informatique, notamment en raison des contraintes budgétaires, il faut pourtant réussir à intégrer cet élément dans le processus de sélection.
La question des données personnelles se posera nécessairement à un moment. Mieux vaut donc l’anticiper et la prendre en compte dès le début, car la conformité du responsable de traitement sera bien souvent liée à celle du prestataire. Ce sera par exemple le cas lorsqu’on lui confie la gestion de la suppression de données personnelles, le développement de nouvelles fonctionnalités, par exemple pour gérer le consentement, ou l’implémentation des bonnes mentions d’information aux bons endroits. Tous ces éléments deviendront un véritable casse-tête par la suite, si le prestataire choisi n’a pas entamé sa mise en conformité.
Rappelons qu’un simple courrier du prestataire, attestant qu’il est conforme n’a aucune valeur. C’est à vous, responsable de traitement, d’aller chercher les preuves qui attestent de cette conformité.
En pratique cela va par exemple passer par un questionnaire d’évaluation du niveau de conformité, afin d’estimer le niveau de maturité du prestataire.
A-t-il nommé un DPO ? A-t-il mis en place des procédures pour gérer les données personnelles (violation de données, demandes des personnes, sélection de ses propres sous-traitants, politique interne de protection des données personnelles) ? A-t-il intégré les principes du privacy by design dans sa méthodologie projet, et dans l’affirmative, comment ? A-t-il entrepris une action de formation de son personnel ? E t-il des certifications spécifiques ? Etc.
Ce questionnaire peut être intégré au processus achat s’il en existe un au sein de votre structure, ou faire l’objet d’un processus à part. Le responsable de traitement pourra aussi s’appuyer sur un logiciel de pilotage permettant au DPO d’évaluer les sous-traitants avec lesquels il a le projet de travailler. L’essentiel est d’être en mesure de prouver que la protection des données personnelles a bien été prise en compte lors de la sélection du prestataire.
Veillez également à bien prendre en compte le risque inhérent à la prestation. Un prestataire auquel on confie une liste de nom, prénom et numéro de téléphone présente un risque beaucoup moins important pour les droits et libertés des personnes concernées qu’un hébergeur qui stocke l’intégralité des données collectées par le responsable de traitement. Aussi, le responsable de traitement devra dans ce dernier cas se montrer plus exigeant sur les preuves de la conformité.
Pour en savoir plus sur comment sélectionner ses sous-traitants
Arrive enfin la phase de la contractualisation. C’est ici que la négociation commence, notamment sur les éventuels points de non-conformité. Un prestataire prouvant sa conformité au RGPD partira de facto avec un avantage. Les prestataires informatiques ont un réel rôle à jouer dans la conformité des responsables de traitement. Il faudra donc bien envisager toutes les questions opérationnelles durant cette phase de négociation, et intégrer au contrat des précisions sur les points déjà respectés en matière de protection des données personnelles, et ceux constituant des améliorations à mettre en œuvre.
A découvrir : le MDM, outil indispensable à la mise en conformité pérenne au RGPD
Pour en savoir plus sur la check listes des clauses essentielles
– Claire Colonna
Nous dispensons des formations spécifiques animées par nos DPO.
Vous pouvez retrouver notre programme « Formation DPO » et le formulaire d’inscription juste en dessous.