RGPD : tous sous-traitants

Le RGPD aura encore plus d'impacts que prévu sur les données que vous gérez pour vos clients. Voici comment faire face.

Le Règlement Général pour la Protection des Données à caractère personnel (RGPD) n’est plus un sujet ignoré ou abordé entre seuls initiés dans les dîners en ville. A moins de vivre dans une grotte, pas un jour qui passe sans sa série d’articles et de posts à ce sujet.

DPO, gestion du consentement, opt’in, formulaires d’information, droit à l’oubli, registre des traitements, documentation de procédures… Tout ça vous dit forcément quelque chose et, pour la plupart des acteurs du net, les “ajustements” évoqués par la CNIL ont déjà commencé.

Parmi les "ajustements", une petite révolution se profile en matière de relations Client/Prestataire (responsable de traitement/sous-traitant en langage RGPD). Le terme sous-traitant regroupe une grande variété de prestataires : les hébergeurs, services d’emailing ou suites logicielles collaboratives... sont les plus évidents.

Mais le concept va plus loin et on est très souvent sous-traitant sans le savoir. Par exemple, un artisan qui travaille sur un programme pour le compte d’un promoteur est souvent amené à stocker les données personnelles des clients finaux. Un autre exemple classique est la start-up qui propose un service innovant, par exemple d’envoi d’emails marketing, et s’appuie sur plusieurs API pour y parvenir. En sous-traitant les données de leurs clients, la startup comme l’artisan sont confrontés à de nouvelles obligations que nous allons détailler dans cet article.

Si vous vous reconnaissez parmi eux, et que vous n’avez jamais entendu parler des articles 28, 30-2 et 37 du RGPD, c’est le moment de vous y intéresser. Pourquoi ? Quand votre client préféré va vous contacter pour vous auditer, ou vous demander de l’aider à remplir ses propres obligations, ce serait dommage de ne pas lui répondre autre chose que oui, au risque de le regretter amèrement ensuite. Car sachez qu’il en aura bientôt parfaitement le droit et même le devoir.

Si vous êtes prestataire, et que vous n’avez vraiment pas entendu parler de la responsabilité des sous-traitants, c’est le moment de vous pencher sur vos contrats. Effectivement, quel que soit le niveau où vous vous trouvez dans la chaîne de sous-traitance, vous êtes désormais directement responsable. Et la première chose que vous devrez faire, c’est d’éviter absolument que votre client (le “responsable du traitement” visé par le texte) vous fasse endosser son propre rôle. Parce que c’est lui qui détermine les finalités du traitement des données de ses clients et pas vous. Parce que c’est lui qui vérifie que la collecte des données qu’ils vous transfère est licite (le consentement préalable, ça vous dit quelque chose ?) et pas vous. Vous êtes un sous-traitant, point barre.

Avant le RGPD, vous étiez à peu près tranquille : c’est votre client qui était le seul responsable direct en matière de protection des données personnelles de ses propres clients. Avec le RGPD, c’est terminé, le sous-traitant est aussi responsable, et cette fois directement (on parle de co-responsabilité entre les deux).

Autre nouveauté du RGPD : vous allez devoir respecter une liste d’obligations longue comme le bras. On vous a sélectionné les meilleures : Vous devez aider votre client à respecter ses propres obligations (et il y en a beaucoup avec le RGPD), vous devez mettre à sa disposition les informations permettant de démontrer que vous respectez vos obligations (surtout de sécuriser ses données), vous devez lui permettre de vous auditer (mes 5 000 client vont débarquer chez moi ?), vous devez l'informer qu'une de ses instructions constitue une violation du règlement européen (vous seriez conseil juridique sans le savoir ?), vous ne pouvez pas vous même  sous traiter sans autorisation préalable de sa part, vous devez vous même vérifier que vos propres sous-traitants présentent des garanties suffisantes (Dans le Saas avec 15 sous traitants minimum, ça va être un vrai bonheur).

Vous allez forcément entendre parler un jour du guide du sous-traitant publié par la CNIL (plutôt fraîchement accueilli par les éditeurs). Certains de vos clients essaieront peut-être de vous imposer ces clauses, sous prétexte que la source, c’est la CNIL et que la CNIL c’est la loi. C’est là où il va falloir faire attention et apprendre à dire non. De ce que disent les juristes, elles sont bien plus contraignantes que le RGPD lui-même. Si j’ai un conseil à vous donner : si vous ne voulez pas vous faire assassiner, vous avez tout intérêt à proposer rapidement et proactivement des clauses de sous-traitance qui ne vous soient pas trop défavorables…

Puisqu’on en parle, vous avez peut-être remarqué que certains prestataires (au hasard : Google, LinkedIn…) ont déjà pris les devants en “proposant” (take it or leave it) leurs fameux “Data processing agreements” ou DPA, le tout bien sûr, en anglais (pas très RGPD tout ça). Vous verrez que ce n’est pas tout à fait la même chose que ce que propose la CNIL. Si j’ai un autre conseil à vous donner : faites-vous aider dans la rédaction de vos contrats afin que les clauses de sous-traitance soient acceptables pour vous aussi. Sinon vous risquez de prendre le tarif maximum.

Un autre point essentiel est l’usage que vous faites-vous même des données de vos clients. A quoi bon mettre en place une démarche RGDP si vous finissez par envoyer toutes les données de vos clients aux USA ou ailleurs pour envoyer des mails ou analyser des fiches client ? RGPD bien géré commence par soi-même et réalisez bien que vous ne pourrez pas mentir à vos clients quand ils vous poseront ce genre de questions.

Vous avez vous-mêmes des sous-traitants, c’est classique dans l’univers du SaaS (mais pas que) c’est là où les choses vont encore se complexifier un peu… ça s’appelle le double effet RGPD. Admettons que vous êtes une startup de 10 personnes qui propose à un groupe mondial un produit incluant une appli révolutionnaire, développée par une startup encore plus petite que vous. Votre futur client va trouver ça génial. Et lorsqu’il va vous proposer le contrat rédigé par un ponte du barreau de Paris, voilà ce qui risque d’arriver :

Phase 1 : vous allez d’abord accuser le coup. Goliath vous demande de garantir la sécurité des données de ses 500 000 clients (oui, vous faites aussi de l’assurance sans le savoir) et de l’informer qu’une de ses instructions constitue une violation du règlement européen (rappelez-vous, vous faites du conseil juridique). Le pire du pire serait aussi d’endosser son rôle de responsable de traitement… Ok c’est caricatural. Mais parce que le client, c’est Goliath, et que le gringalet, c’est vous, vous allez peut-être vous engager sur des scénarios contractuels qui risquent de vous faire mettre la clé sous la porte.

Phase 2 : vous êtes plus que tenté d’ouvrir le parapluie bien grand sur votre minuscule sous-traitant. Le pauvre va lui aussi accepter la mort dans l’âme (s’il a lu le contrat). Le lancer de patate chaude est la nouvelle règle du jeu qui semble se profiler. Je ne sais pas ce que vous en pensez, personnellement je ne trouve pas ça très sain…

Dans la négociation pré-RGPD en cours, le maître mot est donc in-for-ma-tion de chaque acteur sur l’étendue de ses propres obligations. Dans le bras de fer qui risque d’avoir lieu entre clients et prestataires, on espère pouvoir compter sur la CNIL et les tribunaux pour rétablir un certain équilibre (si vous pouvez attendre quelques années). Pour éviter d’en arriver au scénario catastrophe, je me permets d’insister : réfléchissez dès maintenant à ce que vous allez mettre dans vos contrats et faites-vous conseiller par un avocat.