[mis à jour le 31 aout 2017] Il est intéressant de lire les premiers avenants de mise en conformité GDPR issus de l’imagination (fertile) des juristes anglo-saxons. Le premier exemple qu’il m’ait été donné d’analyser est le « Data Processing Addendum » de Salesforce.com (prestataire en mode SaaS poids lourd de son secteur) « révision aout 2017« . Je précise que je ne suis pas l’avocat (ni l’adversaire contractuel) de cette société. Il s’agit donc ici d’un pur exercice de médisance juridique.
Ce document contractuel (en anglais) de mise en conformité GDPR est publiquement accessible ici. Vous pourrez donc tout vérifier par vous-même. De mon coté, je fais un export de cet avenant en format .pdf, dès fois qu’il ne soit prochainement remplacé…
Petits commentaires (à l’arrache) d’un juriste qui épluche la GDPR depuis quelques semaines…
On commence, dans l’ordre de rédaction, par les définitions posées dans l’avenant de mise en conformité GDPR.
“Authorized Affiliate” means any of Customer’s Affiliate(s) which (a) is subject to the data protection laws and regulations of the European Union, the European Economic Area and/or their member states, Switzerland and/or the United Kingdom, and (b) is permitted to use the Services pursuant to the Agreement between Customer and SFDC, but has not signed its own Order Form with SFDC and is not a « Customer » as defined under the Agreement.
Bon, pour la Suisse, rien d’étonnant, le pays bénéficie d’une décision d’adéquation de législation avec la Directive 95/46 depuis 2000. Vous noterez que le Royaume Uni fait (déjà) l’objet d’une mention à part… La faute au Brexit… ça, c’est bien pensé pour la mise à jour de la future conformité GDPR de cet avenant…
On retrouve le même renvoi avec la même discrimination pour les deux mêmes pays (quelle cohérence !) dans la définition de “Data Protection Laws and Regulations” :
“Data Protection Laws and Regulations” means all laws and regulations, including laws and regulations of the European Union, the European Economic Area and their member states, Switzerland and the United Kingdom, applicable to the Processing of Personal Data under the Agreement.
La définition des « données à caractère personnel » est beaucoup plus surprenante :
“Personal Data” means any information relating to (i) an identified or identifiable natural person and, (ii) an identified or identifiable legal entity (where such information is protected similarly as personal data or personally identifiable information under applicable Data Protection Laws and Regulations), where for each (i) or (ii), such data is Customer Data.
Tiens ! les personnes morales sont maintenant concernées par cette législation ? Nous n’avons pas du lire le même texte. Pourtant, le « considérant » n°14 de la GDPR est assez clair (en français seulement ?) :
considérant » n°14 GDPR : « La protection conférée par [la GDPR] devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données [personnelles]. [La GDPR] ne couvre pas le traitement des données [personnelles] qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale ».
Un exces de zèle vers plus de protection offert par des anglo-saxons aux données personnelles ? Pour une mise en conformité GDPR, c’est suspect… Passons…
“Processing” means any operation or set of operations which is performed upon Personal Data, whether or not by automatic means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.
Mention 10/10 pour la définition de « traitement ». Tout y est !!!
“Salesforce Processor BCR” means Salesforce’s processor binding corporate rules for the Processing of Personal Data, the most current version of which is available on SFDC’s website, currently located at http://trust.salesforce.com, which govern transfers of Personal Data to third countries to and between members of the SFDC Group, and to third- party Sub-processors. The scope of application of the Salesforce Processor BCR is set out in Section 11 of this DPA and Section 1 of Schedule 1.
C’est ici que l’enfumage commence. Il est très probable que cette société ait effectivement rédigé des BCR (Binding Corporate Rules) conformes avec la Directive 95/46. Mais de là à prétendre que ces BCR sont conformes dès à présent à la GDPR, je doute… je vous rappelle les principes ?
art.47.1 GDPR : « L’autorité de contrôle compétente approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence… ». A ma connaissance, ce n’est pas le cas des BCR actuelles de Salesforce….
Et tant qu’on y est, je vous rappelle les 14 règles impératives à défaut desquelles des BCR ne peuvent pas être validées par la Commission ?
47.2.d) GDPR : « l’application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données [personnelles], les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d’entreprise contraignantes« .
Je vous laisse (lâchement) le soin d’aller lire en détail les BCR actuelles de Salesforce… Le sujet du jour est bien la « conformité GDPR » d’un avenant de conformité GDPR ?
Vous en voulez encore ?
“Security, Privacy and Architecture Documentation” means the Security, Privacy and Architecture Documentation applicable to the specific Services purchased by Customer, as updated from time to time, and accessible via SFDC’s Trust and Compliance webpage (also accessible via http://www.salesforce.com/company/legal/agreements.jsp under the “Trust and Compliance Documentation” link), or as otherwise made reasonably available by SFDC.
Ici, c’est le cas classique d’une société états-unienne qui se réserve – comme toujours – le droit de faire évoluer arbitrairement ses conditions contractuelles. C’est juste parfaitement contraire aux principes du droit des contrats du Code civil, avant comme après la réforme du 10 février 2016. Une partie au contrat ne peut faire évoluer le contenu du contrat sans le consentement de son co-contractant. Je sais, j’ergote…
On continue ?
“Standard Contractual Clauses” means the agreement executed by and between Customer and salesforce.com, inc. and attached hereto as Schedule 5 pursuant to the European Commission’s decision (C(2010)593) of 5 February 2010 on Standard Contractual Clauses for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection.
Comme pour les BCR, les « clauses contractuelles type » visées sont certainement conformes à la Directive 95/46… Comment le seraient-elles avec la GDPR ?
- soit il s’agit de « clauses contractuelles privées » (art. 46.3 a) GDPR) qui nécessitent au préalable « l’autorisation de l’autorité de contrôle compétente » (rien sur ce sujet dans l’avenant),
- soit il s’agit de « clauses types de protection des données adoptées par la Commission » sur le fondement de l’article 42.6 c) GDPR. Là non plus (et pour cause), rien dans l’avenant. Pour ce qui est de la mise en conformité GDPR, c’est donc de la poudre aux yeux. Poursuivons…
2.2 Customer’s Processing of Personal Data. Customer shall, in its use of the Services, Process Personal Data in accordance with the requirements of Data Protection Laws and Regulations. For the avoidance of doubt, Customer’s instructions for the Processing of Personal Data shall comply with Data Protection Laws and Regulations. Customer shall have sole responsibility for the accuracy, quality, and legality of Personal Data and the means by which Customer acquired Personal Data.
La dernière phrase est une garantie élémentaire demandée à juste titre par le prestataire, rien à redire donc.
A la fin de la phrase « Customer’s instructions for the Processing of Personal Data shall comply with Data Protection Laws and Regulations« , j’aurais complété par l’obligation du prestataire d’informer le client en cas d’instructions non conformes à la GDPR :
art. 28.3.al.2 GDPR « le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation [de la GDPR]…« . Evidemment, cela oblige le prestataire à lire les demandes de son client… Et pour cela, les dispositions de l’article suivant de cet avenant me semblent un peu légères :
2.3 …SFDC shall … only Process Personal Data on behalf of and in accordance with Customer’s documented instructions for the following purposes: … (iii) Processing to comply with other documented reasonable instructions provided by Customer (e.g., via email) where such instructions are consistent with the terms of the Agreement
Poursuivons….
3.1 … To the extent Customer, in its use of the Services, does not have the ability to address a Data Subject Request, SFDC shall upon Customer’s request provide commercially reasonable assistance to facilitate such Data Subject Request to the extent SFDC is legally permitted to do so and provided that such Data Subject Request is exercised in accordance with Data Protection Laws and Regulations…
« provide commercially reasonable assistance to facilitate such … Request to the extent SFDC is legally permitted to do so« … Ah, la magie du contrat à l’anglo-saxonne… Dans la série « je me couvre au cas où »… (ça s’appelle « ceinture et bretelles » en Molière dans le texte). Admirable…
3.2 …With effect from 25 May 2018, … SFDC shall, to the extent legally permitted, promptly notify Customer if SFDC receives a request from a Data Subject to exercise the Data Subject’s right of access, right to rectification, restriction of Processing, erasure (“right to be forgotten”), data portability…
4.2 Reliability. SFDC shall take commercially reasonable steps to ensure the reliability of any SFDC personnel engaged in the Processing of Personal Data.
5. SUB-PROCESSORS
5.1 Appointment of Sub-processors. … SFDC … has entered into a written agreement with each Sub-processor containing data protection obligations not less protective than those in this Agreement with respect to the protection of Customer Data to the extent applicable to the nature of the Services provided by such Sub-processor
5.3 Objection Right for New Sub-processors. Customer may object to SFDC’s use of a new Sub-processor by notifying SFDC promptly in writing within ten (10) business days after receipt of SFDC’s notice in accordance with the mechanism set out in Section 5.2. …SFDC will use reasonable efforts to make available to Customer a change in the Services or recommend a commercially reasonable change to Customer’s configuration or use of the Services to avoid Processing of Personal Data by the objected-to new Sub-processor without unreasonably burdening the Customer. If SFDC is unable to make available such change within a reasonable period of time, which shall not exceed thirty (30) days, Customer may terminate the applicable Order Form(s) with respect only to those Services which cannot be provided by SFDC without the use of the objected-to new Sub-processor by providing written notice to SFDC. SFDC will refund Customer any prepaid fees covering the remainder of the term of such Order Form(s) following the effective date of termination with respect to such terminated Services, without imposing a penalty for such termination on Customer.
6.2 Third-Party Certifications and Audits. SFDC has obtained the third-party certifications and audits set forth in the Security, Privacy and Architecture Documentation. Upon Customer’s written request at reasonable intervals, and subject to the confidentiality obligations set forth in the Agreement, SFDC shall make available to Customer that is not a competitor of SFDC (or Customer’s independent, third-party auditor that is not a competitor of SFDC) a copy of SFDC’s then most recent third-party audits or certifications, as applicable.
![Ordre des Avocats de Paris PSSI et analyse des risques ISO 27001 [11 avril 2024]](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2025/04/547-Ordre-des-Avocats-de-Paris-PSSI-et-analyse-des-risques-ISO-27001-11-avril-2024-©-Ledieu-Avocats-2024.001.jpeg)