Le syndicat professionnel Syntec Numérique, qui réunit ESN, éditeurs de logiciels et sociétés de conseil en technologies, tire la sonnette d’alarme : ce n’est pas aux prestataires informatiques de prendre en charge les obligations de leurs clients liées aux RGPD.
Le risque de transferts de toutes les obligations liées au RGPD des clients vers leurs prestataires informatiques est réel. « Cette pratique se manifeste d’ores et déjà« , selon Jérôme Siméon, président de la Commission juridique de Syntec Numérique, (et par ailleurs directeur général CAPGEMINI Technology Services) alors que le règlement européen prévoit lui une co-responsabilité. D’où l’appel à la vigilance de la chambre professionnelle lors de la rédaction, obligatoire, des clauses relatives au traitement des données personnelles dans les contrats liant les donneurs d’ordre et leurs prestataires (article 28 du RGPD).
« Pour le succès de la réforme, il convient que la responsabilisation de tous les acteurs soit une réalité, et ne soit pas remise en cause par le jeu de la négociation contractuelle et des situations de dépendance économique », indique-t-il.
Afin que les prestataires ne soient pas lésés dans la répartition des responsabilités contractuelles, et dans « une juste éthique des affaires« , Syntec Numérique recommande, avant de déterminer les mentions qui devront figurer dans le contrat, de qualifier les relations entre les parties : « Le client est-il responsable du traitement ou responsable conjoint du traitement ? le prestataire informatique est-il sous-traitant ou responsable conjoint du traitement ? » « Cette qualification est extrêmement importante puisqu’en découleront les obligations respectives du client et du prestataire informatique conformément à ce qui est prévu par le RGPD. Une erreur d’appréciation sur la qualité des parties pourra avoir des conséquences lourdes en termes de responsabilité des parties (non-respect des obligations) », commente Jérôme Siméon.
Les conseils de Syntec Numérique
- Dans la majorité des contrats de prestations informatiques (maintenance, hébergement, infogérance, etc.), le client a la qualité de responsable du traitement : il détermine les finalités et les moyens du traitement. Le prestataire informatique a quant à lui la qualité de sous-traitant : il agit pour le compte, sur instruction et sous l’autorité du client.
- Outre ces rappels, il est important d’indiquer que certaines dispositions du RGPD restent à préciser et notamment la notion d’aide du sous-traitant au client. A cet égard, Syntec Numérique a formulé des remarques sur le guide du sous-traitant de la CNIL, utilisé par de nombreuses entreprises, afin qu’une version enrichie puisse être disponible prochainement.
