[mis à jour le 17 mai 2016] Vous avez été surpris par les obligations qui s’imposeront aux « responsables des traitements de données à caractère personnel » ?

Responsable de traitements de données personnelles et sous-traitant, même combat ?

Vous pensez qu’en votre qualité de « sous-traitant Informatique et Libertés », rien ne va changer ? Vous vous trompez !

Que tremblent les prestataires de service en mode SaaS et les hébergeurs : ils sont les uns et les autres « sous-traitants » au sens de la nouvelle réglementation européenne. Et c’est à leur niveau que se situent les plus grands changements avec l’arrivée de cette législation qui entrera officiellement en vigueur le 25 mai 2018.

Service logiciel SaaS et sous-traitance de traitements de données personnelles

Car toute entreprise qui collecte les données personnelles de ses clients, personnes physiques, (les « personnes concernées »), lorsqu’elle fait appel à un prestataire de service en mode SaaS, insiste pour que ce dernier soit seulement sous-traitant des données qu’elle lui transfère. Et le régime de la sous-traitance dans la directive 95/46 (dont l’abrogation est fixée au 25 mai 2018) était somme toute relativement simple. Il suffisait que le prestataire (sous-traitant donc) s’engage à ne traiter les données du « maitre du fichier » que sur instructions écrites de ce dernier. Le prestataire sous-traitant devait simplement sécuriser techniquement les traitement auxquels il procédait grâce à son logiciel accessible à distance.

A l’avenir, les choses vont devoir être formalisés pour plus de transparence dans les relations entre le « maitre du fichier » et son prestataire SaaS avec l’hébergeur…

L’hypothèse de la sous–sous–traitance – extrêmement courante aujourd’hui dans l’industrie du logiciel en mode SaaS – est également directement impactée par cette règlementation. Car on ne trouve aujourd’hui plus guère de service SaaS sans un contrat d’hébergement avec un tiers au contrat SaaS. Ce tiers, c’est l’hébergeur qui est sous-traitant d’un service au profit des prestataires SaaS. Et Bruxelles n’a pas oublié ces professionnels dont le rôle est déterminant dans le traitement et le stockage des données personnelles.

Prestataires SaaS et hébergeurs, tous solidaires ?

Et oui, les hébergeurs n’y couperont plus. Ils se verront imposer les mêmes obligations, en cascade, que celles qui vont s’appliquer aux prestataires SaaS.

Alors, avant d’attaquer la lecture de la présentation qui suit, allez vous rafraichir les idées en relisant notre étude précédente sur les obligations qui vont s’imposer aux entreprises. Vous vous sentirez ainsi, vous prestataires SaaS ou hébergeurs, moins seuls face à ce Règlement UE… Car c’est bien connu, le malheur des uns fait le bonheur des autres…