Les solutions de gestion des prestataires informatiques

contrat

Généralités

Le RGPD prévoit des textes pour ceux qui traitent des données personnelles. Toutefois, leur application est plus complexe car les qualifications des prestataires informatiques ne sont pas toutes les mêmes. Aussi, plusieurs questions se posent : Est-ce que ces prestataires sont tous compétents à l’égard du RGPD ? Et si oui, quels sont les moyens pour vérifier leur conformité ? Quelles sont les différentes obligations qui incombent au responsable de traitement ?

Les qualifications des prestataires informatiques

Bien avant l’utilisation d’un logiciel conformité rgpd, il est important de s’assurer que ses prestataires informatiques sont bien qualifiés. En effet, ils possèdent tous différentes cordes à leurs arcs, en matière de sous-traitance RGPD. Or, la qualification du prestataire est essentielle car elle permettra de définir ses tâches par la suite.

1er exemple :

Dans le cas d’un éditeur de solution logicielle hébergé sur un serveur du responsable de traitement, le prestataire ne réalise pas de traitement de données personnelles. De ce fait, il n’est pas sous-traitant au sens du RGPD. Les données en question, sont conservées sur le serveur, auquel l’éditeur ne peut accéder. Toutefois, il ne faut pas négliger les opérations annexes comme la maintenance. Comme elles requièrent une opération de traitement, elles nécessitent un certain encadrement.

2è exemple :

Quant aux fournisseurs d’application Saas, ils opèrent des traitements de données à caractère personnel pour les responsables de traitement. Ils ont donc accès aux données et s’occupent de leur stockage, d’où ils sont le plus souvent considérés comme sous-traitants.

3è exemple :

Le cas est le même que le précédent pour les hébergeurs de site internet, s’ils ont les mêmes prérogatives.

Cependant, il existe des prestataires qui sont très indépendants dans l’exercice de leurs fonctions, si bien qu’ils ne peuvent plus être perçus comme des sous-traitants. Dans ce cas, il faudra considérer :

  • A quel point ils sont indépendants à l’égard du responsable de traitement
  • Les instructions qui leur sont fournies
  • Leur influence pour la définition des finalités de traitement
  • Comment le responsable de traitement les surveille
  • Leurs compétences.

Dans tous les cas, pour s’assurer de la conformité RGPD, le responsable de traitement doit recourir à un logiciel registre des traitements rgpd.

Les obligations du responsable de traitement

Si après vérification, le prestataire informatique est bel et bien considéré comme sous-traitant au sens du RGPD, les obligations suivantes incombent au responsable de traitement :

L’évaluation de la conformité de son prestataire

La première obligation concerne la sélection du prestataire. Selon l’article 28 1° du RGPD : « Le responsable de traitement doit uniquement solliciter des sous-traitants ayant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles adaptées, de façon à ce que le traitement soit conforme aux exigences du règlement et assure la protection des droits et libertés de la personne concernée ». 

Certes, pratiquement, il est clair que le seuil de conformité au règlement en termes de protection de données personnelles, n’est pas le seul point à considérer lors de la sélection d’un prestataire informatique, principalement pour des raisons budgétaires. Toutefois, il reste un élément de base essentiel.

Comme la protection des données personnelles sera reconsidérée à tout moment, il est préférable de la prendre en compte dès le départ, d’autant plus que la conformité du responsable de traitement se rapporte généralement à celle du prestataire. De nombreux éléments, tels que le développement de nouvelles fonctionnalités, deviendront problématiques, si le prestataire informatique n’a pas assuré sa conformité au préalable.

Il faut noter que si le prestataire envoie un simple courrier mentionnant sa conformité, le document n’aura aucune valeur légale. Aussi, il revient au responsable du traitement de recueillir les preuves de cette conformité.

Pour ce faire, on se sert généralement d’un questionnaire d’évaluation au regard de la conformité. Il peut comporter les questions suivantes :

  • Est-ce qu’un DPO a été désigné ?
  • Est-ce que les principes du privacy by design ont été inclus dans la méthodologie de projet ? Si oui, de quelle manière ?
  • Est-ce que le personnel a été formé ?

L’encadrement contractuel du traitement de données personnelles

La négociation se déroule dans la phase de contractualisation. Elle concerne les points de non-conformité. En effet, les prestataires qui sont en conformité avec le RGPD, ont un réel avantage sur les autres. De plus, ils jouent un rôle important dans le processus de mise en conformité du responsable de traitement. Toutes les questions opérationnelles doivent être envisagées durant cette étape. De même, il faut donner quelques précisions sur les points respectés en termes de protection des données dans le contrat. Les points à améliorer doivent aussi être inclus.