30 août 2017

DONNEES PERSONNELLES : quelle est ma responsabilité en tant que sous-traitant ?

Vous créez pour vos clients des sites web et/ou des newsletters ? Vous organisez des jeux-concours pour leur compte ? Vous hébergez leurs sites, directement ou via un prestataire ?

Dans ce cas, vous êtes sûrement le « sous-traitant » de fichiers de données personnelles pour vos clients et votre responsabilité va radicalement changer dans moins d’un an. En effet, le 25 mai 2018, le nouveau Règlement européen : RGPD (Règlement Général sur la Protection des Données) sera applicable en matière de données personnelle et va modifier vos obligations légales en profondeur.

 

Ce qu’il faut retenir :

ACTUELLEMENT   A PARTIR DU 25 MAI 2018
En tant que sous-traitant, vous n’avez pas d’obligation légale sur la protection des données que vous gérez pour le compte de vos clients.   De nouvelles obligations pèseront directement sur vous en tant que sous-traitant.
Vis-à-vis de vos clients (responsables du traitement), vous avez uniquement une responsabilité contractuelle qui dépend des termes de vos contrats / de vos conditions générales.

 

Vous n’avez aucune responsabilité légale vis-à-vis des personnes concernées ou des autorités.

 

 

   

Vous serez légalement responsables vis-à-vis de vos clients, vis-à-vis des personnes concernées par la collecte et le traitement de leurs données personnelles et vis-à-vis des autorités. Si vous outrepassez

ou ne respectez pas vos

obligations, votre propre

responsabilité pourra être

engagée, directement ou

solidairement avec votre client.

 

Vous pourrez donc, par exemple, être condamnés à verser des dommages et intérêts.

 

 

En + :

  • Vous devrez impérativement avoir un contrat écrit avec votre client comprenant un certain nombre de mentions obligatoires nouvelles.
  • Vous devrez présenter des garanties suffisantes à votre client quant à la mise en œuvre de mesures (techniques et organisationnelles) permettant la conformité du traitement aux exigences du nouveau règlement.

Les bons réflexes :

  • Faire un état des lieux des traitements de données personnelles que vous effectuez pour votre propre compte et pour celui de vos clients (quel client ? quelles données ? quelles conditions de sécurité ? est-ce que je délègue à un tiers et si oui à qui ? est-ce que mon client le sait et a donné son accord ? etc.)
  • Vérifier que vous avez un contrat écrit avec vos clients et le cas échéant vos propres sous-traitants et créer ou mettre à jour les clauses en matière de protection des données personnelles
  • Le cas échéant, mettre en place un dispositif de protection des données
  • Etudier la possibilité de certification et/ou rédaction d’une charte de protection des données personnelles pour prouver que vous présentez des garanties suffisantes

Apporter en amont à vos clients une garantie que vous êtes dans une démarche de « Data compliance » est une nécessité juridique qui doit surtout être considérée comme une opportunité de valoriser votre sérieux auprès de vos clients ! La mise en conformité avec le RGPD est un sujet complexe qui nécessite une solide organisation et d’y consacrer du temps. Consultez un expert pour vous aider à avancer sereinement et à respecter l’échéance du 25 mai 2018.

Charlotte URMAN / Carole ISOARD