RGPD : Comment adapter vos contrats IT ?

Plus que 5 mois et 1 semaine avant l’entrée en vigueur du RGPD. Avez-vous déjà fait l’état des lieux de ce qu’il vous reste à faire d’ici le 25 mai 2018 ?

Le règlement général sur la protection des données souhaite encadrer et limiter le traitement de données à caractère personnel fait par une entité au sein de l’UE (ou par une entité hors de l’UE mais qui s’adresse à ses ressortissants).

Si la CNIL propose 6 étapes pour vous mettre en conformité, il y a en parallèle d’autres actions à effectuer. Et notamment la revue de vos contrats IT : un élément central et non négligeable de cette nouvelle réglementation, qui impacte l’ensemble des entreprises. 

Qu’entend-on par « contrat IT » ?

Ce sont les contrats d’hébergement, de maintenance, de cloud computing mais aussi tous ceux qui ont pour objet ou effet le traitement de données personnelles entre professionnels.

Avec l’entrée en vigueur du règlement, toutes les parties à un contrat prennent la qualité soit de « responsable du traitement », soit de « sous-traitant ». Et à chaque acteur sont attachées des obligations spécifiques.

Il convient dès lors de bien comprendre les obligations de chacun pour respecter les exigences de la nouvelle réglementation européenne.

Concrètement, qu’est-ce que ça change ?

Dans un premier temps, les nouvelles mesures tendent à donner à la phase précontractuelle une importance inédite. Une opération minutieuse mais essentielle, pour être en conformité avec la nouvelle réglementation. Celle-ci exige notamment de prévoir en amont :

• De déterminer les finalités explicites et légitimes de la collecte des données
• De minimiser la quantité de données collectées
• De prévoir une durée « n’excédant pas celle nécessaire au regard des finalités »
• De garantir la sécurité des données personnelles traitées

Des exigences strictes, et dont les répercussions pourraient être majeures.

A titre d’exemple, les mesures mises en œuvre par l’hébergeur pour se conformer à la réglementation seront de plus en plus considérées comme étant déterminantes pour le consentement du client. L’hébergeur devra donc veiller à garder une preuve de la transmission de l’ensemble des documents, guides, procédures et chartes qu’il remettra lors de la négociation.

Mais le règlement impacte aussi les contrats en vigueur, dont l’objet ou l’effet est le traitement des données personnelles. Ci-dessous, une liste brève et non limitative des changements qu’apporte la nouvelle réglementation sur les différentes figures de contrats. 

Un contrat de responsable de traitement à sous-traitant

Le RGPD dresse une liste non exhaustive des clauses que l’accord entre le responsable de traitement et le sous-traitant devra comporter :

• Les caractéristiques du traitement (objet, durée, nature et finalités de la récupération des données)
• Les obligations et droits du responsable du traitement
• Les dispositions spécifiques par lesquelles le sous-traitant s’engage à traiter les données uniquement sur instruction documentée du responsable de traitement.

Le sous-traitant a par ailleurs un devoir d’assistance du responsable de traitement dans le respect de ses propres obligations : notification de la violation des données, analyse d’impact…

Si ces clauses sont aujourd’hui présentées comme facultatives, il est fort probables qu’elles finissent par imprégner profondément la matière. Un élément à prendre en considération dès aujourd’hui lors de la révision de vos contrats en cours. 

Entre deux responsables de traitement

Au vu des processus informatiques de plus en plus complexes, la CNIL a peu à peu reconnu l’existence de coresponsables, en proposant une certaine répartition des obligations. 

La différence majeure entre ce contrat et celui cité précédemment tient à la responsabilité. Un contrat IT passé entre deux responsables de traitement engage une responsabilité solidaire, et non conjointe ! 

En revanche, le règlement ne fournit pas d’indication sur la manière de distinguer un responsable conjoint d’un sous-traitant. Il ne suffira donc pas de l’exprimer contractuellement pour lier le juge ou l’autorité de contrôle, mais bien de fournir tous les éléments et obligations respectives pour le prouver. Les méthodes utilisées et décrites dans l’avis 1/2010 de la commission restent d’actualité. 

Le recours du sous-traitant à un autre sous-traitant

Vous faites appel à un sous-traitant pour traiter ou conserver les données à caractère personnel que vous possédez ? Il fait peut-être lui aussi appel aux services d’un second sous-traitant. Et vous devez le savoir.

Si le règlement autorise explicitement le sous-traitant à faire appel à un autre sous-traitant, il lui faut toutefois obtenir l’autorisation écrite préalable spécifique ou générale du responsable du traitement.

Pensez donc à préciser les conditions, droits et obligations de chacun dans un tel cas de figure.

Par ailleurs, le contrat pourra limiter la liberté de choix du sous-traitant par la présentation de « garanties suffisantes » et de « mesures techniques et organisationnelles appropriées ». Il devra aussi traiter des conséquences de l’opposition du responsable de traitement à l’intervention du nouveau sous-traitant.

* * *

Le RGPD invite donc toutes les entités à repenser et à réviser dès aujourd’hui de nombreux contrats conclus entre sociétés commerciales, parce que la majorité d’entre eux traitent des données à caractère personnel. Un travail de titan !

Si cet article n’a pas vocation à donner une liste exhaustive des mesures à accomplir, il entend faire prendre conscience à chacun de l’ampleur des travaux à mener pour être en conformité d’ici le 25 mai 2018. 

Pour plus de précisions, vous pouvez retrouver mon article dans le numéro d’Expertises du mois de décembre 2017.