How can we help you?
Le règlement général sur la protection des données, dit « RGPD », applicable depuis le 25 mai 2018, impose de prévoir dans le contrat liant les clients et les prestataires des clauses sur le traitement des données personnelles. Les contrats en cours après le 25 mai 2018 doivent ainsi être modifiés.
Pour le succès de la réforme, il convient que la responsabilisation de tous les acteurs soit une réalité et ne soit pas remise en cause par le jeu de la négociation contractuelle et des situations de dépendance économique. Les responsables du traitement pourraient, en effet, chercher à transférer l’intégralité de leurs risques à leurs fournisseurs, se déchargeant par là même de leurs obligations.
Cette pratique, qui se manifeste d’ores et déjà, est non seulement en contradiction avec l’objectif recherché par le règlement, mais également à la limite d’une juste éthique des affaires.
L’importance de la qualification des acteurs pour la détermination des obligations de chacun
Avant de déterminer les mentions qui devront figurer dans le contrat conformément à l’article 28 du RGPD, une étape essentielle consiste pour les parties à qualifier leurs relations : le client est-il responsable du traitement ou responsable conjoint du traitement ? le prestataire informatique est-il sous-traitant ou responsable conjoint du traitement ?
Dans la majorité des contrats de prestations informatiques (maintenance, hébergement, etc.), le client a la qualité de responsable du traitement en ce qu’il détermine les finalités et les moyens du traitement et le prestataire informatique a la qualité de sous-traitant en ce qu’il traite des données personnelles pour le compte du client. Dans des situations plus exceptionnelles, un client et un prestataire informatique pourront être qualifiés de responsables conjoints du traitement (chacun ayant la qualité de responsable du traitement) en ce sens qu’ils déterminent ensemble les finalités et les moyens du traitement et devront ainsi se répartir les obligations mises à la charge du responsable du traitement par le RGPD.
Cette qualification est extrêmement importante puisqu’en découleront les obligations respectives du client et du prestataire informatique conformément à ce qui est prévu par le RGPD. Une erreur d’appréciation sur la qualité des parties pourra avoir des conséquences lourdes en termes de responsabilité des parties (non-respect des obligations). Il est ainsi recommandé de consacrer à cette étape primordiale une attention toute particulière.
Tirons-en deux enseignement capitaux :
Des confusions risquant de fragiliser les règles de protection des données personnelles
Les confusions liées à la qualité des parties au contrat et par conséquent à la nature de leurs obligations respectives sont souvent liées à l’utilisation du terme « co-responsable », parfois utilisé pour désigner la qualité de responsable conjoint du traitement (dans des cas très particuliers) ou la responsabilité conjointe et solidaire du sous-traitant et du responsable du traitement vis-à-vis de la personne concernée.
Rappelons que :
En outre, soulignons que certaines dispositions du RGPD restent à préciser, par exemple, la notion d’aide du sous-traitant au client. A cet égard, Syntec Numérique a formulé des remarques sur le guide du sous-traitant de la CNIL, utilisé par de nombreuses entreprises, afin qu’une version enrichie puisse être disponible prochainement.
Un dialogue nécessaire entre les clients et les prestataires informatiques
Afin de faciliter les relations entre les clients et les prestataires informatiques, Syntec Numérique appelle les donneurs d’ordre à sensibiliser en interne les directions concernées (juridique, achat, DSI, etc.). Un dialogue régulier entre les clients et les prestataires informatiques, impliquant le cas échéant la CNIL et le Médiateur des Entreprises, est nécessaire pour parvenir à une application cohérente du RGPD et à un équilibre contractuel entre les parties.
Follow us
Rejoignez la première organisation professionnelle de l’écosystème numérique français et participez à la transformation numérique de l'industrie et des services.
BESOIN DE PLUS D’INFORMATIONS ?
Pourquoi adhérer ?CONVAINCU ?
Adhérer en ligne !