[mis à jour le 5 mai 2017] C’est avec un réel enthousiasme (no comment) que nous avons déjà vu les notions fondamentales de la GDPR, puis les principes applicables aux traitements de données [personnelles] et à la responsabilité, enfin les nouvelles obligations qui s’imposent à tous les opérateurs de la chaine de traitement des données [personnelles]. ça fait déjà beaucoup, je sais. Mais vous avez vu la longueur de ce texte ? Comment faire autrement ? Bref… Aujourd’hui, approche transversale autour du statut de celui qui traite sans collecter directement des données : le prestataire « sous-traitant GDPR« .

—> Mot de découragement rapide : ce sont ici les sanctions de type « 10 millions / 2% CA mondial«  (pas plus) qui s’appliquent à tout l’article 28 de la GDPR-RGPD. A tout ce qui est dans les slides. TOUT. Tout tout tout !!!

Les sanctions du type « 20 millions / 4% CA mondial » (le double), c’est surtout pour le non-respect des droits offerts aux citoyens ou des règles encadrant les transferts HORS UE de données. Si ça peut vous réconforter…

Responsable de traitements et sous-traitant GDPR, même combat ?

Vous pensez qu’en votre qualité de futur ex- « sous-traitant Informatique et Libertés », rien ne va changer le 25 mai 2018 ? Vous vous trompez !

Que tremblent les prestataires de service en mode SaaS, les Data Management Platforms et les hébergeurs : ils sont les uns et les autres « sous-traitants GDPR » au sens de la nouvelle réglementation applicable en direct et à l’identique dans les 28/27 Etats de l’UE. Et c’est à leur niveau que se situent les plus grands changements avec la GDPR. La rédaction des contrats de service, de TOUS les contrats de service (allo ! je répète), est à revoir pour que tous soient « GDPR compliant« . Et si vous prenez la peine de parcourir les slides, vous verrez que… que je ne n’exagère pas.

Service SaaS et sous-traitance de traitements

Car toute entreprise qui collecte les données [personnelles] de ses clients, personnes physiques, (les « personnes concernées« ), lorsqu’elle fait appel à un prestataire de service en mode SaaS, insiste pour que ce dernier soit seulement sous-traitant gdpr des données qu’elle lui transfère. Car le régime de la sous-traitance dans la directive 95/46 était somme toute relativement simple : il suffisait que le prestataire (sous-traitant donc) s’engage à ne traiter les données du « maitre du fichier » que sur instructions écrites de ce dernier. Le prestataire sous-traitant devait simplement sécuriser techniquement les traitements auxquels il procédait grâce à son logiciel accessible à distance.

A l’avenir, les choses vont devoir être formalisées pour plus de transparence dans les relations entre le « maitre du fichier » et son prestataire SaaS (ainsi qu’entre le prestataire SaaS et son hébergeur, d’ailleurs. hummmm…).

La notification des failles de sécurité / fuites de données

En faisant une lecture trop rapide de la GDPR, on pourrait croire que l’obligation de notification de l’autorité de contrôle en cas de « violation de données » (non, je ne fais pas à cette traduction) pèse principalement sur le responsable du traitement. Quid en cas de faille / fuite au niveau du sous-traitant GDPR ? Comment le responsable de traitement pourrait-il transmettre à la CNIL l’ensemble des informations permettant d’identifier le problème et de détailler les solutions mises en place pour y remédier ? Ce sont des informations dont il ne dispose tout simplement pas.

En pratique, et même si le contrat ne le précise pas, il appartiendra pourtant manifestement au sous-traitant GDPR de transmettre « au plus tard dans les 72 heures » l’ensemble des éléments que le responsable du traitement est tenu de transmettre à la CNIL. Ben oui, si la faille est au niveau du sous-traitant GDPR, le responsable du traitement ne saura rien transmettre d’utile à la CNIL si le sous-traitant ne lui remet pas les informations pertinentes…

Je sais pas vous, mais moi, je prépare ma clause. Mais à se faire influencer par les concepts de droit anglo-saxon, on va finir par rédiger, comme eux, des contrats fleuve. Et ça, les pro du secteur, ils n’aiment pas trop. C’est vrai que la politique de l’autruche, c’est autrement plus performant.

J’aimerais être payé à la ligne (comme Balzac ?).

La sous-sous-traitance

L’hypothèse de la sous–sous–traitance – extrêmement courante aujourd’hui dans l’industrie du logiciel en mode SaaS – est également directement impactée par cette règlementation. Car on ne trouve aujourd’hui plus guère de service SaaS sans un contrat d’hébergement avec un tiers au contrat SaaS. Ce tiers, c’est l’hébergeur qui est sous-traitant d’un service au profit des prestataires SaaS. Et Bruxelles n’a pas oublié ces professionnels dont le rôle est déterminant dans la chaine du traitement (stockage)  des données [personnelles].

Prestataires SaaS et hébergeurs, tous solidaires ?

Et oui, les hébergeurs n’y couperont plus. Ils devront respecter les mêmes obligations que celles qui vont s’appliquer aux prestataires SaaS. En cascade (on dit « back to back » entre juristes).

Alors, avant d’attaquer la lecture de la présentation en BD accessible dans le slider (ci-dessus), allez vous rafraichir les idées en relisant notre étude précédente sur les obligations qui vont s’imposer aux entreprises. Vous vous sentirez ainsi, vous prestataires SaaS ou vous, hébergeurs, moins seuls face à cette GDP… RGP… GDPR… ce Règlement 2016/679. Car c’est bien connu, le malheur des uns fait le bonheur des autres…

Si vous vous intéressez spécialement aux contrats SaaS, vous pouvez lire notre synthèse technique et juridique complète des contrats de service logiciel, avec impact de la réforme française de 2016 du droit des contrats et un rappel des principales dispositions de la GDPR qui leur sont applicables…

Synthèse de la GDPR et audit ?

Si vous cherchez une synthèse de la GDPR et un début de méthode d’audit, c’est ici qu’il faut cliquer (pour fêter « 1 an » avant l’entrée en vigueur de la GDPR).