Bras de fer entre les prestataires IT et leurs clients dans le cadre du RGPD

Si le client reste responsable en première ligne du respect du RGPD, le règlement fait désormais peser une série d’obligations directement sur le prestataire IT. ©ANP XTRA

Le nouveau règlement européen sur la protection des données ("RGPD") est entré en vigueur le 25 mai 2018. Passé la frénésie de l’échéance et l’avalanche d’e-mails d’information, les entreprises poursuivent leur mise en conformité. Pour la plupart, dont les prestataires de services IT, le chemin est encore long et parfois semé d’embûches.

Guillaume Rue
Associé Cairn Legal

Dans la majorité des contrats de prestations informatiques (développement, maintenance, hébergement, outsourcing, etc.), le client a la qualité de responsable du traitement en ce qu’il détermine les finalités et les moyens du traitement et le prestataire informatique a la qualité de sous-traitant en ce qu’il traite des données personnelles pour le compte du client. Cette qualification est importante puisqu’en découlent leurs obligations respectives.

"En cas de dommage matériel ou moral du fait d’une violation du règlement, le RGPD prévoit une responsabilité illimitée du responsable du traitement ou du sous-traitant à l’égard de la personne concernée."
Guillaume Rue

Si le client reste responsable en première ligne du respect du RGPD, le règlement fait désormais peser une série d’obligations directement sur le prestataire IT. En qualité de sous-traitant, le prestataire doit notamment déployer les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Il devra également traiter les données conformément aux instructions du client et l’informer immédiatement si, selon lui, une instruction de ce dernier constitue une violation du RGPD.

Chaque fois qu’un responsable du traitement a recours à un sous-traitant pour traiter des données personnelles, ils doivent conclure un contrat écrit. Les exigences minimales que doit contenir ce contrat sont mentionnées à l’article 28 du RGPD. Les contrats IT en cours doivent donc être revus et complétés avec ce que l’on appelle communément un "data processing agreement". En pratique, ces révisions de contrats soulèvent de nombreuses discussions, par exemple sur la prise en charge des coûts de mise en conformité et d’assistance fournie par le prestataire. Sur le plan légal, la principale question concerne le partage de responsabilité entre le client et le prestataire.

"De manière générale, on constate que les clients tentent souvent d’imposer des clauses de responsabilité illimitée au prestataire IT pour tout manquement au RGPD."
Guillaume Rue

En cas de dommage matériel ou moral du fait d’une violation du règlement, le RGPD prévoit une responsabilité illimitée du responsable du traitement ou du sous-traitant à l’égard de la personne concernée. En outre, le RGPD prévoit des sanctions extrêmement dissuasives, dont des amendes importantes (4% du chiffre d’affaires ou 20 millions d’euros). Même si les autorités de contrôle n’infligeront probablement ces montants maximums que pour des cas de violations extrêmement graves et rares, il importera aux intervenants de limiter leurs risques. Si, à l’égard des personnes concernées ou des autorités de contrôles, les prestataires et clients ne peuvent limiter leur responsabilité, ils peuvent néanmoins convenir de répartir le risque entre eux (dans le respect du droit applicable à leur contrat).

Responsabilité illimitée

De manière générale, on constate d’ailleurs que les clients tentent souvent d’imposer des clauses de responsabilité illimitée au prestataire IT pour tout manquement au RGPD. La démarche est compréhensible. Le client peut voir sa responsabilité engagée pour les manquements du prestataire IT. Et même dans les cas où la faute du prestataire serait exclusive de celle du client, ce dernier pourrait se voir reprocher de ne pas avoir choisi un prestataire fiable (c’est une obligation du responsable du traitement). D’un autre côté, les prestataires, en particulier ceux qui offrent des services cloud standardisés à des milliers de clients, se trouvent confrontés à des demandes de responsabilité illimitée difficilement acceptables au vu d’une gestion prudente des risques et du prix des services fixé "ante-RGPD".

"Il faudra encore de nombreux mois avant que des bonnes pratiques se dégagent et que les autorités de contrôle publient des lignes directrices aidant les différents acteurs à mieux apprécier les risques."
Guillaume Rue

Les parties devront donc convenir d’un niveau de responsabilité tenant compte de ce nouveau contexte et d’une vision réaliste du "risque" du traitement. On tiendra par exemple compte de la quantité et du type de données (sensibles ou pas), du nombre de personnes concernées, des certifications et code de conduite du prestataire, des assurances cyber sécurité/data protection en place, etc. Les autres critères habituels de négociation des clauses de responsabilité (durée du contrat, prix, réciprocité des clauses, etc.) seront également pris en considération.

Et à la question souvent posée: "quels sont les standards en matière de clause de responsabilité RGPD?", on répondra "wait and see". Il faudra encore de nombreux mois avant que des bonnes pratiques se dégagent et que les autorités de contrôle publient des lignes directrices aidant les différents acteurs à mieux apprécier les risques.

Lire également

Publicité
Publicité

Contenu sponsorisé

Partner content