Prestataires de services IT, éditeurs de logiciels, ne voyez-vous rien venir ?

Les prestataires de services IT seront doublement impactés par la réforme de la protection des données personnelles...

Après trois ans de gestation, la réforme de la protection des données personnelles devrait enfin voir le jour à la fin de l’année 2015. Dernière ligne droite, maintenant que le texte du Conseil a été adopté, les Trilogues commenceront le 24 juin.

Décriée par les uns au prétexte de ne pas assez protéger les citoyens, critiquée par les autres au motif qu'elle serait un frein au développement du numérique et des technologies, cette réforme n’en constitue pas moins une avancée notoire.

Cependant, les progrès sont bien réels, tant sur le terrain de la responsabilisation des entreprises que sur celui de l'information et des droits des personnes.

Fait nouveau, le règlement prévoit la responsabilisation d'acteurs qui n'étaient jusque là pas directement concernés par cette législation. Les prestataires de services IT seront en effet doublement impactés par la réforme de la protection des données personnelles.

  • Le règlement européen imposera de nouvelles obligations aux prestataires de services

Jusqu’alors, les dispositions de la loi en cours ne traitaient que des obligations et de la responsabilité du responsable de traitement, à charge pour ce dernier de s’assurer que son sous-traitant ou son prestataire assure la sécurité des données qui lui étaient confiées.

Une fois le nouveau règlement entré en vigueur, le prestataire devra documenter les traitements concernés et tenir ces informations à la disposition des autorités de contrôle.

Le prestataire sera directement responsable de la sécurité des données confiées par son client et il pourra être chargé de mener une étude d’impacts en cas de traitement à risques élevés pour la vie privée et les libertés des personnes.

Par ailleurs, il devra s’assurer de la légalité des éventuels transferts de données vers ses propres sous-traitants ou prestataires situés en dehors de l’Union Européenne.

Désormais et comme le responsable du traitement, le prestataire sera passible de lourdes sanctions administratives (jusqu’à 2% du C.A. mondial) et de sanctions pénales en cas de violation des obligations qui lui incombent.

  • Les clients devront renforcer l’encadrement contractuel de leurs relations avec leurs prestataires

Le règlement exige du responsable de traitement qu’il encadre sa relation avec ses prestataires d’un certain nombre de clauses contraignantes dont les termes sont précisés.

Le texte prévoit en outre, que le prestataire qui outrepasserait les instructions de son client pourra se voir qualifié de co-responsable du traitement, ce qui engendrera de fait des obligations supplémentaires pour le prestataire.

Bien que la CNIL ait déjà eu l’occasion de faire des recommandations en ce sens, notamment en cas de recours à un prestataire de « cloud », l’encadrement contractuel des prestataires sur la protection des données est souvent très insuffisant.

Le nouveau règlement devrait donc être l’occasion pour les clients de non seulement renégocier les contrats avec leurs prestataires mais aussi et surtout de leur imposer de nouvelles obligations. Les clients pourront par exemple exiger la présence d’un CIL, l’existence de certifications, une analyse des risques sur la vie privée, ou que le prestataire soit régulièrement audité.

En conclusion et afin de limiter les risques de mise en cause de leur propre responsabilité, les clients pourraient dans bien des cas chercher à se placer sur le terrain de la responsabilité conjointe avec leurs prestataires. Voilà qui promet du travail pour les juristes !

Ce sera surtout pour les prestataires aptes à démontrer la mise en place d’une gouvernance de la protection des données, l’occasion d’afficher aux yeux de leurs clients, un sérieux avantage compétitif sur leurs concurrents.