[data] RGPD synthèse contrat SOUS-TRAITANT (conférence EuroCloud 15 février 2018)

[mis à jour le 16 février 2018] Vous pensez que j’allais refuser de participer à une table ronde sur le contrat de sous traitance cloud BtoB alors que le RGPD entre en vigueur dans 3 mois ? Je participe avec plaisir à la table ronde n°3 de la journée spéciale RGPD-GDPR organisée par EuroCloud France. Vous trouverez dans le slider ci-dessous l’intégrale de ma présentation « RGPD synthèse contrat SOUS-TRAITANT » assurée avec la modération de mon Confrère Jérome Lebras. Merci à Henry-Michel Rozenblum, secrétaire général (très actif) de Eurocloud France pour son invitation et surtout l’organisation de cette journée à la Chambre de commerce et d’Industrie de l’Ile de France (c’est joli la Porte de Champerret sous la pluie…).

[16 février 2018] ERRATUM de ma part : pardon aux hébergeurs membres du CISPE (OVH, Ikoula, 1&1, etc.) et merci de votre rectification de mes propos lors de cette table ronde. Oui, les hébergeurs ont bien adopté dès 2017 un Code de conduite au sens de la GDPR. Le texte de ce Code de conduite « CISPE » est accessible en cliquant ici (CISPE = « Code of Conduct for Cloud Infrastructure Service Providers« ).



RGPD synthèse contrat SOUS-TRAITANT : pas de « finalité » du traitement des données de ses clients

Evidemment ! Le sous-traitant propose des « Services » à ses clients. Les « Services » ? Des traitements sur les données de ses clients. Il faut donc que le client garantisse qu’il dispose du droit de faire traiter les données par son sous-traitant. Le sous-traitant, lui, ne peut pas savoir si le traitement de son client / responsable de traitement est « licite, loyal et transparent »… 


RGPD synthèse contrat SOUS-TRAITANT : pas de « base juridique » du traitement sur les données de ses clients

C’est évidemment au « responsable du traitement » de définir SA base juridique, puisque ce sont SES données. Car dans le rapport contractuel entre le prestataire sous-traitant et le client commanditaire, la base juridique sera toujours « nécessaire à l’exécution du contrat« . 

 


RGPD synthèse contrat SOUS-TRAITANT : pas « d’obligation d’information » pour le sous-traitant

Cher clients, les data sont celles de TES clients ? A lors c’est à TOI d’informer sur les finalités du traitement de leurs données, TES bases juridiques et des « droits RGPD » que TU es tenu d’offrir à TES Users / clients / prospects / etc. Moi, sous-traitant, je ne connais pas TES personnes concernées. JE ne traite que des data…


RGPD synthèse contrat SOUS-TRAITANT : pas d’information sur les « droits GDPR » pour le sous-traitant


RGPD synthèse contrat SOUS-TRAITANT : l’obligation de sécurisation technique des données

La GDPR est extrêmement claire sur l’obligation de sécurisation des traitements : le travail doit techniquement se faire chez le client ET chez le sous-traitant. Les jurisprudences « Orange », « Hertz » et Darty » de la CNIL sont très très claires sur le sujet.


RGPD synthèse contrat SOUS-TRAITANT : obligation pour le sous-traitant de notifier les failles / fuites de sécurité dans 100 % des cas !!!

Attention, si ça fuite chez le sous-traitant, dans tous les cas, le sous-traitant doit notifier son client. A charge pour le client / responsable du traitement d’informer la CNIL, éventuellement les personnes concernées aussi…


RGPD synthèse contrat SOUS-TRAITANT : des contrats avec des clauses obligatoires

Ne cherchez plus, prenez une chaise, asseyez-vous et lisez l’article 28 RGPD. 8 mentions obligatoires dans un contrat dès qu’il y a sous-traitance de données à caractère personnel. Avant 2018, on mettait quelques lignes dans les contrats BtoB. Avec le RGPD, c’est l’inflation… Et plus le client est (économiquement) lourd, plus c’est contractuellement vraiment n’importe quoi en ce moments ! La peur est (décidément) mauvaise conseillère pour les responsables de traitement.