27 juin 2017

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#109 RGPD représentant du prestataire HORS UE (données personnelles)

#109 RGPD représentant du prestataire HORS UE (données personnelles)

[mis à jour le 19 juillet 2017] C’est bien de vouloir promouvoir la responsabilité des acteurs de la chaine de traitement des données [personnelles]. Encore faudrait-il que certains opérateurs de traitement (au hasard situés outre-Atlantique) acceptent de jouer le jeu. C’est tout le problème de ces prestataires hors UE. La GDPR leur impose (c’est une obligation, PAS UNE OPTION) de nommer un « représentant GDPR » localisé dans l’UE qui puisse assumer le poids des sanctions prévues dans la GDPR au cas où… Au cas où quoi ? Au cas où la GDPR ne serait pas respectée, bien sûr !

Alors, ça concerne qui ? Souvent des prestataires de traitements de données inconnus du grand public, ceux qui sont capables de traiter des données en grand volume avec leur savoir-faire logiciel original. Ce sont des prestataires qui utilisaient le « Safe Harbor » pour rapatrier des TeraOctets de data vers les fermes de données outre-Atlantique. Aujourd’hui, c’est grâce au « Privacy Shield » que ces prestataires importent les data des entreprises européennes. Ils sont sous-traitants au sens de la GDPR. Et certains sont situés exclusivement HORS de l’UE, sans aucune représentation juridique dans l’UE.

Alors, comment faire à l’ère de l’Internet et du Web ?


Quel respect de la GDPR par les prestataires HORS UE ?

Comment véritablement imposer le respect de la GDPR à ces prestataires HORS UE ? Car les critères d’application de la GDPR sont incontestablement clairs : traiter des données de personnes situées sur le territoire de l’UE, même lorsque l’entreprise qui effectue les traitements n’est pas présente juridiquement sur le territoire de l’UE = application OBLIGATOIRE de la GDPR. Il en va de même avec le projet de Règlement « e-Privacy » qui concerne les opérateurs de communications électroniques…

Alors, où est le hic ?

La menace d’une amende, si forte soit-elle, sur le territoire de l’UE alors que l’entreprise n’est pas sur le territoire de l’UE, ça fait pas trop peur…

Alors ? Quoi d’autres ? Ne restant plus que les pouvoirs d’injonction des autorités de contrôle, la fameuse capacité à « couper les flux de données« … Sur le papier, c’est vrai, ça fait peur. Dès que je pose la question à des professionnels des réseaux de communication électronique (« c’est techniquement possible ou pas ? »), la réponse n’est… comment dire… pas franchement claire. Cela semble manifestement possible dans des pays « centralisés » comme la Chine ou la Russie, mais plus difficile dans des pays (authentiquement) démocratiques comme ceux de l’Union Européenne.

Ne reste plus que la procédure judiciaire en responsabilité « in solidum » diraient mes Confrères qui font du judiciaire… La capacité d’un juge à condamner deux personnes morales pour le tout, à charge pour celle qui paie effectivement (de manière volontaire ou forcée…) de se retourner contre l’autre condamnée pour lui demander sa quote-part… Va falloir trouver et faire condamner celle qui paiera… Et quoi de plus simple que de s’en prendre au donneur d’ordre situé dans l’UE ?

Le rôle du « représentant GDPR » dans l’UE d’un prestataire HORS UE ?

Le rôle du représentant GDPR dans l’UE d’un prestataire HORS UE sera de garantir la « GDPR compliance » pour compte du prestataire HORS UE. En clair ? C’est lui qui paie l’amende de son patron qui l’a envoyé au casse-pipe sur le Vieux continent. C’est vendeur, comme proposition de job, non ? C’est comme pour le Data Protection Officer, ça n’a pas l’air de se bousculer au portillon des candidats…

Les 3 options (difficiles) du responsable du traitement situé dans l’UE

En fait, selon la GDPR, c’est assez simple (si on prend le temps de se plonger dans le texte) :

  • soit le prestataire HORS UE bénéficie, via son pays, d’une décision d’adéquation de la Commission européenne, auquel cas l’exportation des données vers son pays pour des traitements à finalité déterminée est valide sans information supplémentaire au profit des personnes dont les données sont traitées (USA via le « Privacy Shield« , Suisse, Argentine, Canada, etc.) ;
  • soit le prestataire est « GDPR compliant » car il présente des « garanties appropriées » au sens de l’article 46 GDPR. En clair, il peut justifier d’une « certification GDPR » au sens de l’article 42 GDPR (ou d’un Code de conduite préalable validé par une Autorité de contrôle type CNIL), ce qui passera obligatoirement par la désignation d’un représentant GDPR dans l’UE ;
  • soit… il ne bénéficie ni d’une décision d’adéquation, ni ne justifie d’une « certification GDPR ». Auquel cas le contrat de prestation de service de traitement de données est illicite, et le responsable du traitement situé dans l’UE sera pleinement responsable du manquement à la GDPR, avec comme risque de sanction une amende administrative au format « 20 millions d’€uros / 4% CA mondial« .

Alors, que faire lorsque le seul et unique prestataire de traitement de votre entreprise, sans autre concurrent, est situé HORS UE ? Et que lui seul peut répondre à vos besoins ? Et qu’il ne s’intéresse pas à sa « certification GDPR » ? (et qu’il n’attend en fait que d’apprendre qu’il peut nommer un « représentant GDPR » dans l’UE et se faire certifier type ISO 27001…?) Soit votre entreprise continue de travailler avec ce prestataire (en mode SaaS tant qu’on y est) et votre entreprise est alors potentiellement pleinement responsable du non-respect des dispositions (pourtant claires) de la GDPR, soit il va falloir arrêter de travailler avec ce prestataire.

Je sais bien qu’aucune de ces deux solution ne va vous satisfaire, vous, opérateur de traitements sur le territoire de la République française (n’est-ce pas, Vincent ?).

Mais si vous espérez être « GDPR compliant » au 25 mai 2018, il va falloir faire des choix en termes de risques. Et là, aucun conseil externe ne pourra prendre la décision à votre place. Mais au moins, vous pourrez prendre votre décision en connaissance de cause si vous prenez le temps de lire les images dans le slider en tête de ce post.

BONUS : hello (projet de) Règlement « e-Privacy » !

Et la révolution qui s’annonce pour les professionnels de la collecte des métadonnées de communication électroniques s’appelle « Règlement e-Privacy » (projet v1 du 10 janvier 2017) et doit remplacer la Directive « vie privée et communications électroniques » 2002/58. Etude en cours et bientôt sur ce blog…

Actuellement (juin 2017), le projet est en cours de discussion par 2 commissions du Parlement UE. Projet à adopter « en automne » selon les Echos de ce 26 juin 2017.

GDPR et e-Privacy, même combat !

Bon, comme dans le [projet] « e-Privacy », il est écrit que les « fournisseurs de services de communication électroniques » situés HORS UE doivent nommer un représentant GDPR dans l’UE. « Comme dans la GDPR« . Oui, oui, c’est écrit presque comme ça.

Chères DMP et chers prestataires de collecte de data en IP tracking, c’est le moment de suivre ce projet. Vous allez être directement impactés. Pour vous donner une idée de ce qui se prépare, c’est collecte et utilisation des « métadonnées de communications électroniques » SEULEMENT avec consentement. Et le consentement, c’est « comme dans la GDPR » dit le projet « e-Privacy ».

Ah, oui, au fait, enfin, il y a une définition légale des « métadonnées de communications électronique« . Ce sont bien des métadonnées. TOUTES les métadonnées qui permettent le transport et l’acheminement des communications électroniques. Pour TOUS les FAI, opérateurs télécom, et prestataires de services de messagerie orales ou écrites (tous ces prestataires qui avaient échappés à la directive 2002/58 comme Skype, Messenger, WhatsApp, etc.).




 

 

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ