[data] RGPD-GDPR —> USA et Brexit : quelle conformité GDPR des contrats [BtoB] ?

[mis à jour le 31 aout 2017] Il est intéressant de lire les premiers avenants de mise en conformité GDPR issus de l’imagination (fertile) des juristes anglo-saxons. Le premier exemple qu’il m’ait été donné d’analyser est le « Data Processing Addendum » de Salesforce.com (prestataire en mode SaaS poids lourd de son secteur) « révision aout 2017« . Je précise que je ne suis pas l’avocat (ni l’adversaire contractuel) de cette société. Il s’agit donc ici d’un pur exercice de médisance juridique.

Ce document contractuel (en anglais) de mise en conformité GDPR est publiquement accessible ici. Vous pourrez donc tout vérifier par vous-même. De mon coté, je fais un export de cet avenant en format .pdf, dès fois qu’il ne soit prochainement remplacé…

conformité GDPR 

 

Petits commentaires (à l’arrache) d’un juriste qui épluche la GDPR depuis quelques semaines…

On commence, dans l’ordre de rédaction, par les définitions posées dans l’avenant de mise en conformité GDPR.

 “Authorized Affiliate” means any of Customer’s Affiliate(s) which (a) is subject to the data protection laws and regulations of the European Union, the European Economic Area and/or their member states, Switzerland and/or the United Kingdom, and (b) is permitted to use the Services pursuant to the Agreement between Customer and SFDC, but has not signed its own Order Form with SFDC and is not a « Customer » as defined under the Agreement.

Bon, pour la Suisse, rien d’étonnant, le pays bénéficie d’une décision d’adéquation de législation avec la Directive 95/46 depuis 2000. Vous noterez que le Royaume Uni fait (déjà) l’objet d’une mention à part… La faute au Brexit… ça, c’est bien pensé pour la mise à jour de la future conformité GDPR de cet avenant…

On retrouve le même renvoi avec la même discrimination pour les deux mêmes pays (quelle cohérence !) dans la définition de “Data Protection Laws and Regulations” :

“Data Protection Laws and Regulations” means all laws and regulations, including laws and regulations of the European Union, the European Economic Area and their member states, Switzerland and the United Kingdom, applicable to the Processing of Personal Data under the Agreement.

La définition des « données à caractère personnel » est beaucoup plus surprenante :

“Personal Data” means any information relating to (i) an identified or identifiable natural person and, (ii) an identified or identifiable legal entity (where such information is protected similarly as personal data or personally identifiable information under applicable Data Protection Laws and Regulations), where for each (i) or (ii), such data is Customer Data.

Tiens ! les personnes morales sont maintenant concernées par cette législation ? Nous n’avons pas du lire le même texte. Pourtant, le « considérant » n°14 de la GDPR est assez clair (en français seulement ?) :

considérant » n°14 GDPR : « La protection conférée par [la GDPR] devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données [personnelles]. [La GDPR] ne couvre pas le traitement des données [personnelles] qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale ».

 Un exces de zèle vers plus de protection offert par des anglo-saxons aux données personnelles ? Pour une mise en conformité GDPR, c’est suspect… Passons…

“Processing” means any operation or set of operations which is performed upon Personal Data, whether or not by automatic means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.

Mention 10/10 pour la définition de « traitement ». Tout y est !!!

“Salesforce Processor BCR” means Salesforce’s processor binding corporate rules for the Processing of Personal Data, the most current version of which is available on SFDC’s website, currently located at http://trust.salesforce.com, which govern transfers of Personal Data to third countries to and between members of the SFDC Group, and to third- party Sub-processors. The scope of application of the Salesforce Processor BCR is set out in Section 11 of this DPA and Section 1 of Schedule 1.

C’est ici que l’enfumage commence. Il est très probable que cette société ait effectivement rédigé des BCR (Binding Corporate Rules) conformes avec la Directive 95/46. Mais de là à prétendre que ces BCR sont conformes dès à présent à la GDPR, je doute… je vous rappelle les principes ? 

art.47.1 GDPR« L’autorité de contrôle compétente approuve des règles d’entreprise contraignantes conformément au mécanisme de contrôle de la cohérence… ». A ma connaissance, ce n’est pas le cas des BCR actuelles de Salesforce….

Et tant qu’on y est, je vous rappelle les 14 règles impératives à défaut desquelles des BCR ne peuvent pas être validées par la Commission ?

47.2.d) GDPR : « l’application des principes généraux relatifs à la protection des données, notamment la limitation de la finalité, la minimisation des données, la limitation des durées de conservation des données, la qualité des données, la protection des données dès la conception et la protection des données par défaut, la base juridique du traitement, le traitement de catégories particulières de données [personnelles], les mesures visant à garantir la sécurité des données, ainsi que les exigences en matière de transferts ultérieurs à des organismes qui ne sont pas liés par les règles d’entreprise contraignantes« .

Je vous laisse (lâchement) le soin d’aller lire en détail les BCR actuelles de Salesforce… Le sujet du jour est bien la « conformité GDPR » d’un avenant de conformité GDPR ? 

Vous en voulez encore ?

“Security, Privacy and Architecture Documentation” means the Security, Privacy and Architecture Documentation applicable to the specific Services purchased by Customer, as updated from time to time, and accessible via SFDC’s Trust and Compliance webpage (also accessible via http://www.salesforce.com/company/legal/agreements.jsp under the “Trust and Compliance Documentation” link), or as otherwise made reasonably available by SFDC.

Ici, c’est le cas classique d’une société états-unienne qui se réserve – comme toujours – le droit de faire évoluer arbitrairement ses conditions contractuelles. C’est juste parfaitement contraire aux principes du droit des contrats du Code civil, avant comme après la réforme du 10 février 2016. Une partie au contrat ne peut faire évoluer le contenu du contrat sans le consentement de son co-contractant. Je sais, j’ergote…

On continue ?

“Standard Contractual Clauses” means the agreement executed by and between Customer and salesforce.com, inc. and attached hereto as Schedule 5 pursuant to the European Commission’s decision (C(2010)593) of 5 February 2010 on Standard Contractual Clauses for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection.

Comme pour les BCR, les « clauses contractuelles type » visées sont certainement conformes à la Directive 95/46… Comment le seraient-elles avec la GDPR ?

  • soit il s’agit de « clauses contractuelles privées » (art. 46.3 a) GDPR) qui nécessitent au préalable « l’autorisation de l’autorité de contrôle compétente » (rien sur ce sujet dans l’avenant),
  • soit   il s’agit de « clauses types de protection des données adoptées par la Commission » sur le fondement de l’article 42.6 c) GDPR. Là non plus (et pour cause), rien dans l’avenant. Pour ce qui est de la mise en conformité GDPR, c’est donc de la poudre aux yeux. Poursuivons…

2.2  Customer’s Processing of Personal Data. Customer shall, in its use of the Services, Process Personal Data in accordance with the requirements of Data Protection Laws and Regulations. For the avoidance of doubt, Customer’s instructions for the Processing of Personal Data shall comply with Data Protection Laws and Regulations. Customer shall have sole responsibility for the accuracy, quality, and legality of Personal Data and the means by which Customer acquired Personal Data.

La dernière phrase est une garantie élémentaire demandée à juste titre par le prestataire, rien à redire donc.

A la fin de la phrase « Customer’s instructions for the Processing of Personal Data shall comply with Data Protection Laws and Regulations« , j’aurais complété par l’obligation du prestataire d’informer le client en cas d’instructions non conformes à la GDPR : 

art. 28.3.al.2 GDPR « le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation [de la GDPR]…« . Evidemment, cela oblige le prestataire à lire les demandes de son client… Et pour cela, les dispositions de l’article suivant de cet avenant me semblent un peu légères :

2.3  …SFDC shall … only Process Personal Data on behalf of and in accordance with Customer’s documented instructions for the following purposes: … (iii) Processing to comply with other documented reasonable instructions provided by Customer (e.g., via email) where such instructions are consistent with the terms of the Agreement

Poursuivons….

3.1 … To the extent Customer, in its use of the Services, does not have the ability to address a Data Subject Request, SFDC shall upon Customer’s request provide commercially reasonable assistance to facilitate such Data Subject Request to the extent SFDC is legally permitted to do so and provided that such Data Subject Request is exercised in accordance with Data Protection Laws and Regulations…

« provide commercially reasonable assistance to facilitate such … Request to the extent SFDC is legally permitted to do so« … Ah, la magie du contrat à l’anglo-saxonne… Dans la série « je me couvre au cas où »… (ça s’appelle « ceinture et bretelles » en Molière dans le texte). Admirable…

3.2  …With effect from 25 May 2018, … SFDC shall, to the extent legally permitted, promptly notify Customer if SFDC receives a request from a Data Subject to exercise the Data Subject’s right of access, right to rectification, restriction of Processing, erasure (“right to be forgotten”), data portability…
Une entreprise fait traiter ses données de CRM par un prestataire en mode SaaS, et la personne dont les données sont traitées aurait ici un « droit à portabilité » ? Je ne sais pas ce qu’en pense Tristan Nitot, mais moi, je crois que Salesforce n’a pas bien compris ce qu’était le « droit à portabilité« . C’est pas le droit pour un consommateur de récupérer ses données (surtout ses contenus originaux) traités par un prestataire ? Je ne dois pas être assez intelligent…
 
ça y est. Je commence à m’énerver. Je ne vais pas lire ce document en entier, je le sens déjà…
4.2  Reliability. SFDC shall take commercially reasonable steps to ensure the reliability of any SFDC personnel engaged in the Processing of Personal Data.
Ben… Comment dire ?  C’est écrit dans le contrat, donc c’est vrai ? Heuuuuuuuu…
 
28.3.al.1.b) GDPR « [le contrat … prévoit, notamment, que le sous-traitant] veille à ce que les personnes autorisées à traiter les données [personnelles] s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité »
 
Ah, quand il s’agit de limiter leur responsabilité, ils sont forts ces anglo-saxons…
 
Allez, une dernière (après, j’arrête).

5. SUB-PROCESSORS

5.1  Appointment of Sub-processors. … SFDC … has entered into a written agreement with each Sub-processor containing data protection obligations not less protective than those in this Agreement with respect to the protection of Customer Data to the extent applicable to the nature of the Services provided by such Sub-processor

OK, un bon point pour Salesforce, même si je n’ai pas compris l’intérêt de la précision « with respect to the protection of Customer Data to the extent applicable to the nature of the Services provided by such Sub-processor« … Encore des juristes victimes du syndrome de Balzac (qui était payé à la ligne…) ?
5.3  Objection Right for New Sub-processors. Customer may object to SFDC’s use of a new Sub-processor by notifying SFDC promptly in writing within ten (10) business days after receipt of SFDC’s notice in accordance with the mechanism set out in Section 5.2. …SFDC will use reasonable efforts to make available to Customer a change in the Services or recommend a commercially reasonable change to Customer’s configuration or use of the Services to avoid Processing of Personal Data by the objected-to new Sub-processor without unreasonably burdening the Customer. If SFDC is unable to make available such change within a reasonable period of time, which shall not exceed thirty (30) days, Customer may terminate the applicable Order Form(s) with respect only to those Services which cannot be provided by SFDC without the use of the objected-to new Sub-processor by providing written notice to SFDC. SFDC will refund Customer any prepaid fees covering the remainder of the term of such Order Form(s) following the effective date of termination with respect to such terminated Services, without imposing a penalty for such termination on Customer.
Alors là, je m’incline : Salesforce offre plus de droits que je ne propose à mes clients éditeurs d’en offrir dans leurs contrats de service. Par exemple, pour l’hébergement, je prévois contractuellement que le prestataire en mode SaaS se réserve le droit de changer d’hébergeur, pour autant (bien sur) notamment que les garanties GDPR du nouvel hébergeur soient au moins identiques à celles prévues dans le contrat de service. De là à permettre la résiliation et à rembourser le client… Un excès de zèle de nos amis juristes anglo-saxons ?
 
Vous en voulez encore ?
6.2  Third-Party Certifications and Audits. SFDC has obtained the third-party certifications and audits set forth in the Security, Privacy and Architecture Documentation. Upon Customer’s written request at reasonable intervals, and subject to the confidentiality obligations set forth in the Agreement, SFDC shall make available to Customer that is not a competitor of SFDC (or Customer’s independent, third-party auditor that is not a competitor of SFDC) a copy of SFDC’s then most recent third-party audits or certifications, as applicable.
Alors là, je dis « trop fort, Salesforce ». Aucun mécanisme de certification (art.42 GDPR) ni aucun code de conduite (art. 40 GDPR) n’est actuellement disponible. Mais ne boudons pas notre plaisir. La démarche de Salesforce est louable. C’est déjà ça. D’ici là à prétendre que le contrat est conforme à la GDPR…
 
Bon, j’arrête à la page 4 sur 22. Tirer sur l’ambulance, ça va un temps…

Brexit et conformité GDPR

conformité GDPR

Pour la deuxième fois en deux mois, je suis confronté à une négociation entre une entreprise basée au Royaume-Uni et un prestataire français. Les anglo-saxons semblent avoir du mal à digérer que, sauf décision d’adéquation de la Commission Européenne sur la (future) législation anglaise, à compter du 29 mars 2019, la Grande Bretagne (avec l’Irlande du nord) va devenir un pays tiers à l’UE. Comme la Russie, la Chine ou le Vénézuéla (au hasard).
 
Techniquement, en matière de données [personnelles], ça voudra dire PAS d’exportation de données [personnelles] depuis l’UE vers le Royaume-uni. Sauf pour le prestataire français à chercher à « faire jurisprudence » pour application des sanctions pécuniaires au format « 4% du chiffre d’affaire mondial« .
 
Je fais comme tout le monde, je lis la presse : les Européens veulent d’abord régler le divorce, avant de signer tout nouvel accord (comme par exemple une décision d’adéquation de la législation du UK avec la GDPR). Mais le gouvernement de Mme Theresa May veut au contraire d’abord négocier les futurs traités avant de régler le divorce. Et de ce fait, les négociations se passent mal. Ce n’est pas moi qui le dit, mais Les Echos de ce 31 aout 2017: « Les négociations du Brexit tournent au dialogue de sourds« . Nous ne sommes pas prêts de l’avoir, cette décision d’adéquation EU / UK… Les mauvaises langues prétendent même que le dossier serait « sous le dessus de la pile » à Bruxelles. Voire même en dessous encore…

Brève conclusion sur la conformité GDPR des contrats actuels

 
– Bien joué à Salesforce qui tente de faire croire que son contrat est conforme à la GDPR. Bien tenté, plutôt…
 
– Je me tue à le répéter à mes interlocuteurs depuis des mois. Comment faire confiance aux anglo-saxons dans la compréhension (et la mise en oeuvre) d’un texte comme la GDPR aussi contraire à la lettre comme à l’esprit de la législation des USA ? Nos amis du Royaume-Uni encourent la même remarque : comme croire à l’interprétation de la GDPR par des juristes de common law, alors que le Royaume Uni va quitter l’Union Européenne et n’a JAMAIS intégré les concepts de protection des données [personnelles] (voir la transposition très particulière outre-Manche de la Directive 95/46) ? Je vous rappelle que ce même Royaume-Uni va quitter la juridiction de la CJUE, qui sera l’ultime juridiction d’interprétation de ce texte. Il n’y aura même plus de juges anglais dans la CJUE.
 
–  « la critique est facile mais l’art est difficile« . Cette remarque vaut pour moi, comme pour mes Confrères qui s’échinent actuellement à proposer des clauses de « conformité GDPR ». 
 
P.S. en forme de message personnel : cher Mathieu, merci de m’avoir transmis ce document pour commentaires… J’aime bien régler mes comptes avec mes Confrères anglo-saxons (ceux des gros cabinets ou des grandes entreprises) qui affirment toujours savoir tout mieux que les autres. J’ai passé un bon moment grâce à toi, je t’en remercie. Vraiment. A vous, chères lectrices et chers lecteurs, méfiez-vous des juristes qui prennent leur désir (contractuel) pour des réalités… L’Atlantique et la Manche sont, décidément, de puissantes (et surprenants) filtres d’analyse de la GDPR.