19 juillet 2017

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#115 RGPD synthèse pour prestataire de Big Data

[mise à jour du 21 mars 2019] Et lorsque je suis invité par un prestataire de traitement de Big Data pour évoquer le RGPD-GDPR ? J’y vais (aussi) (merci Othmane !). Que la presse professionnelle arrête de nous bassiner avec ses manchettes racoleuses du type « professionnels : avez-vous entendu parler de la GDPR ?« . Les professionnels savent, ils veulent juste savoir concrètement ce qu’ils doivent organiser dans les 10 mois qui viennent. C’est la raison de cette présentation « RGPD et prestataire de Big Data ». Là, le sujet du jour est plus orienté droit des contrats : quels impacts contractuels du fait de la GDPR lorsque l’on est prestataire de traitement de gros volume de data pour ses clients ?



RGPD et prestataire de Big Data : le droit du Big Data ?

Oui, juridiquement le « Big Data » c’est le traitement de gros volumes de données [personnelles] à des fins de prospection et de profilage le plus souvent.

Pour creuser la notion de « Big Data », lire « le Big Data est mort, vive le Big Data ! » (site web de l’Usine Digitale du 6 juillet 2017).

[mise à jour du 21 mars 2019] Si vraiment, c’est une analyse juridique du BIG DATA qui vous intéresser, vous pouvez aller lire ma présentation en BD intitulée (en toute modestie) « Le droit du BIG DATA« .

RGPD et prestataire de Big Data : le prestataire est sous-traitant RGPD

RGPD et prestataire de Big Data : quel impact sur les contrats entre le prestataire "sous-traitant RGPD" et son client ? synthèse [Ledieu-Avocats] 01

Le prestataire de traitement de Big Data est manifestement « sous-traitant » au sens de la GDPR : il traite bien les données de ses clients, les données qui appartiennent à ses clients. Celles que le prestataire restitue à ses clients lorsque le traitement a été opéré. Des données qu’il ne conserve donc pas après la fin de la prestation. Tout ça, c’est normal si l’on veut bien faire une application juste normale de la GDPR. Et les contraintes juridiques sont évidentes, puisque le prestataire sous-traitant devra souscrire à toute une série d’engagements obligatoires, à mentionner dans un contrat écrit. Ce n’est pas moi qui l’impose, mais la GDPR.

RGPD et prestataire de Big Data : soyons contractuellement raisonnables !

RGPD et prestataire de Big Data : quel impact sur les contrats entre le prestataire "sous-traitant RGPD" et son client ? synthèse [Ledieu-Avocats] 02

Si le prestataire procède au traitement logiciel des (Big) data de ses clients, il ne lui appartient pas de gérer les obligations d’informations au profit des clients/ prospects de son donneurs d’ordre. Il faut être logique.

Si, cher client, ces données sont les tiennes, c’est à toi qu’il appartient de veiller à ce que :

(i) les « personnes concernées » aient donné leur consentement au traitement auquel, moi prestataire, je vais procéder,

ou

(ii) le fondement juridique GDPR de ton traitement SANS consentement te le permette.

Car dans les deux cas, il faudra que le client, propriétaire des données, puisse garantir au prestataire que le « principe de minimisation » (parmi les 6 principes de licéité des traitement) a été respecté. Ce que le prestataire ne peut savoir (et ne veut surtout pas savoir, sauf à encourir la fameuse « co-responsabilité » par la requalification de son rôle dans ce même traitement)

Dans les deux cas encore, le prestataire n’a pas à vérifier que le donneur d’ordre opère son traitement dans les conditions conformes à la GDPR. Au contraire (et c’est quand même assez logique), c’est bien au client aussi de garantir au prestataire la « conformité GDPR » de la collecte des données et de la finalité du traitement déclarée aux « personnes concernées ». Surtout si le traitement proposé est standard pour le prestataire.

Bref, chers prestataires, il va falloir « blinder » vos contrats de service. Déjà pour protéger vos intérêts (« légitimes » comme dirait la GDPR) en professionnel diligent (et raisonnable). Et aussi pour montrer à vos clients que vous avez intégré les contraintes techniques et juridiques qui s’appliqueront à votre activité dès le 25 mai 2018.

Et vous ferez de votre « compliance GDPR » un avantage concurrentiel pour vos clients, sans attendre la prise de conscience de vos concurrents…

RGPD et prestataire de Big Data : quel impact sur les contrats entre le prestataire "sous-traitant RGPD" et son client ? synthèse [Ledieu-Avocats] 03


Encore MERCI aux Editions Delcourt / Soleil pour me permettre de rendre (un peu) digeste cette loi si difficile, et pourtant si essentielle, pour les professionnels comme pour les citoyens et les consommateurs que nous toutes et tous. C’est possible grâce à des bandes dessinées aussi remarquables que « Horologiom » et « Badlands« . Merci tout particulièrement à Sébastien Le Foll et Lucie Massena de la Team Delcourt.


RGPD et prestataire de Big Data : quel impact sur les contrats entre le prestataire "sous-traitant RGPD" et son client ? synthèse [Ledieu-Avocats] 04


RGPD et prestataire de Big Data : quel impact sur les contrats entre le prestataire "sous-traitant RGPD" et son client ? synthèse [Ledieu-Avocats] 05


RGPD et prestataire de Big Data : quel impact sur les contrats entre le prestataire "sous-traitant RGPD" et son client ? synthèse [Ledieu-Avocats] 06

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ