Clauses contractuelles RGPD : que négocier en qualité de prestataire sous-traitant ?

Avocat RGPD Nantes Paris

données personnelles

Clauses contractuelles RGPD : que négocier en qualité de prestataire sous-traitant ?

> situation

 

Vous souhaitez, en qualité de sous-traitant, que vos contrats en cours et vos nouveaux contrats soient conformes à la législation sur les données personnelles. Pour ce faire, il convient, selon le cas, de signer un avenant spécifique sur le sujet ou d’insérer une clause dédiée dans vos contrats.

Vous pouvez cependant vous retrouver dans une situation où vous disposez de peu de marges de manœuvre dans la négociation contractuelle, soit parce qu’un client historique n’est pas enclin à renégocier les termes de votre relation, soit parce qu’un nouveau client a un poids plus important que vous.

Quels sont, dans une telle hypothèse, quelques-uns des points essentiels sur lesquels vous ne devez pas lâcher ?

> concrètement
  • Prévoir que les instructions de votre client dans le cadre de la réalisation de votre prestation seront toujours formulées par écrit. Vous êtes en effet dans l’obligation de n’agir que sur instructions.
  • Se ménager une porte de sortie au contrat si une instruction de votre client vous parait illicite (ex : hébergement de données de santé en lieu et place de données « classiques »).
  • Si une analyse d’impact est nécessaire (ex : traitement de données de sensibles à grande échelle), veillez à prévoir les modalités de votre assistance auprès de votre client pour la réalisation de cette démarche (ex : en régie).

En qualité de prestataire, vous faites régulièrement appel vous-même à des sous-traitants (ex : à un hébergeur pour héberger l’application que vous proposez en SaaS à vos clients) : prévoyez au contrat que votre client vous autorise à changer de sous-traitant moyennant information préalable. Évitez un système d’autorisation préalable qui pourrait se révéler impraticable.  

Plus généralement, il ne faut pas accepter que votre client mette à votre charge, par principe, des obligations qui lui incombent et qui relèvent donc de sa responsabilité (ex : permettre aux personnes concernées par le traitement des données d’exercer leurs droits d’accès, rectification, etc., notifier la CNIL et les personnes concernées en cas de violation de sécurité, etc.). Vous pouvez bien entendu vous impliquer dans ce processus mais cependant moyennant contrepartie financière.

Avocat Nantes La Roche sur Yon Paris

Les clients, souvent profanes en matière informatique, ont tendance à essayer de faire en sorte que leur prestataire informatique les garantisse contre tout. Mais avec le RGPD, ce n’est pas possible, chacun ayant des obligations propres auxquelles sont rattachées des responsabilités. Il faut donc entrer en négociations en vous disant que le RGPD, c’est une aventure à deux !

Nous contacter
D’autres questions ? Voyez aussi…

Que dois-je mettre en œuvre pour le respect de mon obligation de sécurité ?

Avocat RGPD Nantes Paris

données personnelles

Que dois-je mettre en œuvre pour le respect de mon obligation de sécurité ?

> situation

La législation prévoit que le responsable d’un traitement de données à caractère personnel doit prendre toutes les précautions utiles pour préserver la sécurité de données, pour éviter, par exemple, qu’elles ne soient endommagées, déformées ou pire, que des tiers non autorisés y aient accès.

Depuis l’entrée en vigueur du RGPD, pour garantir la sécurité des données, il convient donc de mettre en place des mesures techniques et organisationnelles qui dépendent :

  • de l’état des connaissances et des coûts de mise en œuvre (ex : il ne s’agit pas de se doter de moyens de sécurité accessibles aux seuls services de renseignement d’un pays ou accessibles à un coût disproportionné),
  • de la nature, la portée du contexte et de la finalité du traitement. Ainsi, plus le traitement sera sensible, plus les mesures devront être strictes et respectées,
  • des risques présentés par le traitement (degré de probabilité et de gravité) résultant de la destruction, perte, altération, divulgation, ou accès non autorisé aux données.

L’obligation d’assurer la sécurité des données pèse tant sur le responsable de traitement que le sous-traitant.

Mais de quoi peut-il s’agir concrètement ?

Avocat Nantes La Roche sur Yon Paris

Il est indispensable de tenir à jour une documentation des mesures techniques et organisationnelles mises en place afin de pouvoir démontrer à la CNIL que vous respectez la législation en vigueur.

> concrètement

Les moyens pouvant être mis en œuvre en pratique sont les suivants :

  • mettre en place des niveaux d’habilitation d’accès aux données fonction du poste occupé au sein de l’entreprise et de la nécessité d’avoir accès auxdites données,
  • mettre en œuvre une politique de mot de passe rigoureuse,
  • la pseudonymisation/chiffrement des données,
  • faire adhérer le personnel à une charte informatique fixant les bonnes pratiques d’utilisation des moyens informatiques de l’entreprise,
  • des procédures d’évaluation régulière des mesures de sécurité.

A noter à cet égard que la CNIL met à disposition des professionnels un guide de la sécurité des données personnelles.

Nous contacter
D’autres questions ? Voyez aussi…

Quelles règles applicables à la géolocalisation de salariés ?

Avocat RGPD Nantes Paris

données personnelles

Quelles règles applicables à la géolocalisation de salariés ?

> La règle

Par géolocalisation, il faut entendre tout dispositif permettant aux organismes privés ou publics de prendre connaissance de la position géographique des employés, à un instant donné ou en continu, par la localisation des véhicules mis à leur disposition pour l’accomplissement de leur mission.

Par principe, la collecte de données de géolocalisation est envisageable si elle poursuit l’une des finalités suivantes : 

  • respect d’une obligation légale ou réglementaire (ex : texte imposant la mise en œuvre d’un tel dispositif en raison du type de transport – ex : poids lourds),
  • sécurité des employés (ex : transports de fonds),  
  • meilleure allocation des moyens pour des prestations à accomplir (ex : identifier l’employé le plus proche d’une panne d’ascenseur pour intervenir plus vite),
  • suivi et facturation d’une prestation ou suivi du temps de travail.

Si la géolocalisation est nécessaire, elle doit tout de même être portée à la connaissance des employés qui doivent donner leur consentement avant sa mise en place.

Ils doivent en outre avoir accès aux données les concernant enregistrées par l’outil (dates et heures, trajets, etc.) et avoir la possibilité de désactiver la collecte de ces données de géolocalisation en dehors du temps de travail. 

La CNIL a en outre donné depuis quelques années des préconisations à suivre afin de garantir la vie privée des employés (durée de conservation limitée à 2 mois en cas de contrôle de l’activité des salariés, accès aux seuls destinataires habilités en interne, etc.).

Avocat Nantes La Roche sur Yon Paris

Si l’employeur a désigné un délégué à la protection des données (DPO), il doit être associé à la mise en œuvre du dispositif de géolocalisation et le système de géolocalisation doit être inscrit dans les registres de traitement.

> L'exception

La collecte de données de géolocalisation ne peut cependant notamment être faite :

  • pour contrôler le respect des limitations de vitesse,
  • pour contrôler un employé en permanence (et de surcroît en dehors de son temps de travail),
  • pour suivre les déplacements des représentants du personnel dans le cadre de leur mandat,
  • pour contrôler un employé qui bénéficierait d’une grande liberté dans l’organisation de son temps de travail (ex : VRP).
Nous contacter
D’autres questions ? Voyez aussi…

Qu’est-ce que le « privacy by design » et « privacy by default » ?

Avocat RGPD Nantes Paris

données personnelles

Qu’est-ce que le « privacy by design » et « privacy by default » ?

> situation

 

Vous lancez votre activité de e-commerçant ou encore développez des applications pour des tiers, etc., et on vous parle de Privacy by design et Privacy by default.

Mais qu’est-ce que cela signifie ?

> concrètement

Ces deux expressions peuvent être traduites comme suit : protection des données dès la conception (by design) et par défaut (by default).

Cela signifie que dès la mise en place d’un produit/service, vous devez vous interroger sur la manière de le concevoir pour qu’il soit respectueux de la législation applicable (ex : mise en place d’un site internet de e-commerce qui ne recueille que les données strictement nécessaires à l’envoi des marchandises) et qu’il soit ensuite exploité par défaut dans cette perspective (ex : développement d’un CRM qui permet la suppression automatique de données passé un certain temps).

Ainsi par exemple, le produit/service développé devra avoir été conçu en tenant compte :

  • du respect de la vie privée,
  • du principe de minimisation des données et de limitation des finalités (ne collecter que les données nécessaires).
Avocat Nantes La Roche sur Yon Paris

Il est indispensable de tenir à jour une documentation permettant de justifier auprès de la CNIL du respect des principes de « privacy by design » et « privacy by default ».

Nous contacter
D’autres questions ? Voyez aussi…

Suis-je tenu de réaliser une analyse d’impact ?

Avocat RGPD Nantes Paris

données personnelles

Suis-je tenu de réaliser une analyse d’impact ?

> La règle

 

Une analyse d’impact est obligatoire, depuis l’entrée en vigueur du RGPD, lorsque le traitement présente un « risque élevé » pour les droits et libertés des personnes concernées  (ex : profilage, surveillance systématique, collecte de données sensibles ou à large échelle, etc.).

Cette analyse d’impact comprend :

  • une description des opérations de traitement,
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités,
  • une évaluation des risques pour les droits et libertés des personnes concernées,
  • les mesures envisagées pour faire face aux risques (garanties et mesures de sécurité).
Avocat Nantes La Roche sur Yon Paris

Si elle est nécessaire, cette analyse d’impact incombe au responsable du traitement et non au délégué à la protection des données (DPD). Ce dernier jouera cependant un rôle de conseil compte tenu de ses compétences en matière de données personnelles. Au besoin, le sous-traitant peut aussi apporter son assistance.

> L'exception

Une telle analyse d’impact ne sera cependant pas nécessaire, par exemple lorsque :

  • le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées,
  • la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une analyse d’impact a déjà été réalisée,
  • le traitement a une base juridique dans le droit de l’UE ou dans le droit de l’Etat membre auquel le responsable de traitement est soumis et une analyse d’impact générale a déjà été effectuée dans ce cadre,
  • le traitement correspond à une exception déterminée par la CNIL. A cet égard, la commission a publié une liste des opérations de traitement pour lesquelles une analyse d’impact n’est pas nécessaire, accessible sur son site internet.
Avocat Nantes La Roche sur Yon Paris

Si vous êtes par exemple amené à procéder à une surveillance systématique des activités de vos employés (y compris leur poste de travail, leur activité sur internet, etc.), une étude d’impact est potentiellement requise.

Nous contacter
D’autres questions ? Voyez aussi…