rgpd règlement général sur la protection des données personnelles · 2018. 6. 19. · 03 • le...

RGPD Règlement Général sur la Protection des Données personnelles Aide à la relation contractuelle avec les éditeurs de logiciels, intégrateurs et fournisseurs de services SAAS

Juin 2018

Magali Nogueira

Coordination de cette publication

USF : Responsable Marketing et Communication

© USF

USF

Utilisateurs SAP Francophones

64, rue du Ranelagh

75016 Paris

mail : [email protected]

www.usf.fr

© CLUB UTILISATEURS DE SOLUTIONS ORACLE

Club Utilisateurs de Solutions Oracle

Agence Florence Gillier & Associés

Groupe O’Connection

8, rue Blaise Pascal

92000 Neuilly-sur-Seine


www.clubutilisateursoracle.org

© DYNSCLUB

DynsClub

Club Utilisateurs Microsoft Dynamics

France

40, rue Madeleine Michelis

92200 Neuilly-sur-Seine


www.dynsclub.com

• Avertissement et droit d’auteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . page 5

• Préface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . page 6

• Remerciements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . page 7

• Rappel du contexte et des objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . page 8

• Méthodologie et périmètre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . page 9

1 - Champ d’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . page 10

1 . Rappel des exigences du RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .page 10

2 . Les points de contrôle à privilégier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .page 10

3 . Les engagements et les actions des fournisseurs . . . . . . . . . . . . . . . . . .page 11

4 . Les moyens de contrôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .page 11

2 - Les bases légales de traitement et consentement . . . . . . . . . . . . . . . . . . . . . . . . .page 12





3 - Le délégué à la protection des données personnelles (DPD/DPO) . . . . . . . . . . .page 14





4 - Les relations avec l’autorité de contrôle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .page 15





5 - La responsabilité (« accountability ») et la gouvernance des données . . . . . . . .page 16





6 - L’analyse d’impact relative à la vie privée (DPIA) . . . . . . . . . . . . . . . . . . . . . . . . . . .page 18





Sommaire

7 - La sécurité et la notification des violations de sécurité . . . . . . . . . . . . . . . . . . . . . .page 19





8 - Les certifications et les codes de conduite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .page 21

1 . Rappel des exigences du RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . page 21

2 . Les points de contrôle à privilégier et les engagements

des fournisseurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .page 21


9 - Les obligations des fournisseurs sous-traitants . . . . . . . . . . . . . . . . . . . . . . . . . . . .page 22





10 - L’information des personnes et la transparence . . . . . . . . . . . . . . . . . . . . . . . . .page 24





11 - Les droits des personnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . page 25





12 - Les sanctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . page 26




• Lexique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . page 27

PAGE 4

Avertissement et droit d’auteur

Le présent document est le résultat de travaux menés par des membres de l’USF, du DynsClub et des trois clubs utilisateurs des solutions Oracle (AUFO, Groupe Francophone des Utilisateurs JD Edwards, et Club des Utilisateurs PeopleSoft), dans le cadre d’un Groupe de Travail commun .

Les positions et opinions exprimées dans ce document représentent la compréhension des cinq associations membres du Groupe de Travail, au regard des informations à leur disposition à la date de sa rédaction (avril 2018) .

Toutes les marques, tous les noms commerciaux, noms de domaine et autres signes distinctifs cités dans ce document sont utilisés à des fins d’identification et restent la propriété de leurs titulaires respectifs .

Le présent document est protégé par le droit d’auteur . Seules sont autorisées, d’une part, les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective, et, d’autre part, les analyses et les courtes citations dans un but d’exemple ou d’illustration (article L . 122-5 du Code de la propriété intellectuelle) . Toute autre représentation ou reproduction, intégrale ou partielle, du présent document, qui serait faite sans le consentement de ses auteurs ou de leurs ayants droit est illicite et constitue une contrefaçon sanctionnée par les articles L . 335-2 et suivants du Code de la propriété intellectuelle .

PAGE 5

Préface

L’entrée en vigueur du RGPD entraîne des modifications profondes dans les relations entre les éditeurs de logiciels, les intégrateurs, les fournisseurs de service SaaS et leurs clients . Afin de clarifier ces relations, les cinq principaux clubs utilisateurs francophones de progiciels (USF, AUFO, DynsClub, Groupe Francophone des utilisateurs J .D . Edwards, Club des Utilisateurs PeopleSoft) se sont réunis, pour la première fois, et ont constitué un Groupe de Travail commun .

L’objet de ce Groupe de Travail était d’identifier ensemble les engagements à demander aux éditeurs de progiciels, aux intégrateurs et aux fournisseurs de solutions SaaS pour permettre à leurs clients de se conformer au RGPD, ainsi que de définir des indicateurs et points de contrôle communs pour vérifier la mise en œuvre de ces engagements .

Le présent document résulte d’un travail des clubs utilisateurs étalé sur plusieurs mois et se présente comme un guide pratique pour faciliter l’établissement de la relation contractuelle par les utilisateurs avec les éditeurs, intégrateurs et fournisseurs de SaaS .

Au-delà de ce guide, l’ambition des cinq clubs utilisateurs est d’aboutir par la suite à un Code de Conduite à destination des mêmes fournisseurs de logiciels . Ce code pourra être soumis à la CNIL et à la Commission européenne pour bénéficier de la publicité et de la portée accordées par le RGPD à ce type d’outil .

Nous sommes convaincus que le RGPD représente une réelle opportunité pour solidifier la démarche de co-responsabilité entre les fournisseurs de logiciels et leurs clients .

PAGE 6

Didier Artus

Président du DynsClub

Vincent Brillot

Président du Groupe Francophone des Utilisateurs J .D . Edwards

Jean-Jacques Camps

Président de l’AUFO

Yassine M’Barki

Président du Club des Utilisateurs PeopleSoft

Gianmaria Perancin

Président de l’USF

Remerciements

Nous remercions Patrick Geai et Claude Molly-Mitton, anciens Présidents de l’USF, pour leur implication dans le pilotage des activités de ce Groupe de Travail et dans la réalisation de ce document .

Nous tenons à remercier tous les membres de l’AUFO, du Club des Utilisateurs PeopleSoft, du DynsClub, du Groupe Francophone des Utilisateurs J .D . Edwards, et de l’USF ayant contribué aux travaux, et notamment :

- Didier Artus, Geoxia - Dynsclub .

- Bruno Barré, Groupe La Poste - USF .

- Jean-Jacques Camps, Air Liquide - AUFO .

- Stéphane Crampel, CAMFIL - DynsClub .

- Carine Ferreira, Geoxia - DynsClub .

- Yohann Garcia, IVY Group - Groupe Francophone des utilisateurs J .D . Edwards .

- Sabine Grosdidier, AUFO .

- Vincent Lermuzeaux, Air Liquide - AUFO .

- Jean-Luc Santerre - Club des Utilisateurs PeopleSoft .

- Georges Selan, Jeff de Bruges - DynsClub .

- Florent Trussart, CNRS - USF .

Nous remercions par ailleurs Olivier de Courcel, Avocat au Barreau de Paris, Féral-Schuhl / Sainte-Marie, pour sa contribution à la réalisation de ce document .

PAGE 7

Rappel du contexte et des objectifs

Le nouveau Règlement Général de l’Union européenne sur la Protection des Données personnelles (RGPD) est entré en vigueur le 25 mai 2018 . Ce texte introduit des changements significatifs dans la manière dont les entreprises et les organisations publiques doivent traiter les données à caractère personnel . La responsabilité des fournisseurs de services informatiques, et en premier lieu des éditeurs de progiciels, intégrateurs et prestataires de services applicatifs à distance (SaaS), est renforcée . Les fournisseurs peuvent être considérés comme responsables conjoints d’un traitement et sont soumis à une responsabilité solidaire avec leurs clients responsables de traitement .

Pour analyser les implications du RGPD, l’USF (Utilisateurs SAP Francophones) s’est associée à quatre autres clubs utilisateurs : le DynsClub (utilisateurs Microsoft Dynamics), et les clubs utilisateurs des solutions Oracle (AUFO, Groupe Francophone des Utilisateurs J .D . Edwards, et Club des Utilisateurs PeopleSoft) .

L’objectif de ce groupe de travail est d’identifier, ensemble, les engagements à demander aux éditeurs de progiciels, aux intégrateurs et aux fournisseurs de solutions SaaS afin qu’ils proposent des produits et services qui permettent, pour ce qui les concerne, à leurs clients de se conformer au RGPD, ainsi que de définir des indicateurs et points de contrôle communs pour vérifier la mise en œuvre de ces engagements .

PAGE 8

Méthodologie et périmètre

Ce guide est une aide à la définition et à la gestion des relations contractuelles entre les prestataires et leurs clients en matière de protection des données à caractère personnel .

Le Groupe de Travail ambitionne à terme d’aboutir à un code de conduite, qu’il pourra adapter en fonction de l’évolution de la matière et des produits et services informatiques, ainsi que des textes à venir et des mécanismes qui se mettront en place (notamment les certifications et les organismes de contrôle agréés) .

Les cinq associations ont constitué un Groupe de Travail, piloté par l’USF . Les premières réunions ont démarré mi-octobre 2017 . Les travaux du Groupe ont consisté, tout d’abord, à reclasser les 99 articles du RGPD en douze thèmes . Ensuite, l’objectif a été d’identifier les articles dans lesquels les fournisseurs sont concernés (ils sont cités dans 36 articles du RGPD) .

Ces douze thèmes sont les suivants :

01 • Champ d’application.

02 • Les bases légales de traitement et consentement.

03 • Le délégué à la protection des données personnelles (DPD / DPO).

04 • Les relations avec l’autorité de contrôle.

05 • La responsabilité (« accountability ») et la gouvernance des données.

06 • L’analyse d’impact relative à la vie privée (DPIA).

07 • La sécurité et la notification des violations de sécurité.

08 • Les certifications et les codes de conduite.

09 • Les obligations des fournisseurs sous-traitants.

10 • L’information des personnes et la transparence.

11 • Les droits des personnes.

12 • Les sanctions.

Le Groupe de Travail a cherché, pour chacun des douze thèmes identifiés, les dispositions du RGPD qui répondent aux questions suivantes :

• Quelles sont les exigences du RGPD ?

• Quelles sont les attentes du client ?

• Quels sont les engagements ou actions attendus des fournisseurs ?

• Quels sont les modalités de contrôle et les indicateurs associés ?

Le Groupe de Travail a retenu trois types de fournisseurs : éditeurs de progiciels fournis « sur site », intégrateurs, prestataires de services SaaS (tous désignés indifféremment ici comme “fournisseurs”) . Il a volontairement écarté du périmètre de ses travaux les activités d’infogérants et de fournisseur de IaaS (Infrastructure as a Service) . De même, a également été écartée à ce stade la configuration de responsable conjoint de traitement .

Par conséquent, ce guide s’attache à ce jour à la situation traditionnelle dans laquelle les éditeurs et intégrateurs se limitent au rôle de « sous-traitant » au regard du RGPD, c’est-à-dire ne traitent des données de leur client, dit « responsable de traitement », que pour le compte de celui-ci et selon ses instructions .

Un lexique à la fin de ce guide rappelle le sens des principaux termes employés .

PAGE 9

Les fournisseurs concernés par ce guide sont tous implantés en France . Ils peuvent néanmoins réaliser une partie de leurs services dans d’autres pays, dans le cadre de filiales étrangères ou par l’intermédiaire de prestataires tiers . Dans ces occasions (qui ne sont pas les seules), les données peuvent se trouver transférées à l’étranger, auprès de sous-traitants des fournisseurs .

Les transferts de données vers des pays en dehors de l’Union européenne, mais considérés par la Commission européenne comme assurant un niveau de protection adéquat, doivent être identifiés par le fournisseur dès le stade de son offre .

Lorsque les transferts hors de l’Union européenne sont conditionnés par le RGPD à des garanties appropriées de la part du responsable du traitement, le fournisseur doit préciser dans son offre les mesures qu’il met en œuvre : par exemple les règles d’entreprise contraignantes (BCR), les clauses contractuelles types (CCT) adoptées ou approuvées par la Commission européenne, un mécanisme de certification, ou encore l’adhésion au Privacy Shield (pour les États-Unis) .

Le fournisseur s’engage à ne pas transférer des données vers d’autres pays que ceux visés ci-dessus .

Par ailleurs, il s’assure que son ou ses sous-traitants sont soumis aux mêmes obligations, en matière de protection de données, que celles fixées dans le RGPD et dans le contrat avec le client, et qu’il les respecte . Le fournisseur vérifiera en particulier, que son ou ses sous-traitants mettent en œuvre les mesures techniques et organisationnelles appropriées à cet effet .

Enfin, le fournisseur devra s’interdire de transférer des données à caractère personnel à tout destinataire qui ne serait pas prévu au contrat, sauf sous-traitant autorisé par le client conformément au chapitre 9 .

Les articles 45 à 49 abordent les questions de transferts de données lorsque celles-ci sont transmises ou rendues autrement accessibles à des personnes situées dans des pays tiers à l’Union européenne . L’article 28 du RGPD traite les relations d’un sous-traitant avec ses propres sous-traitants, y compris lorsque ceux-ci sont établis hors de l’Union européenne .

Champ d’application


1 Rappel des exigences du RGPD

2 Les points de contrôle à privilégier

Avant de conclure tout contrat avec le client, le fournisseur s’engage à :

• Lister l’ensemble des pays vers lesquels des données sont transférées, préciser le nom du ou des sous-traitants destinataires ainsi que l’objet (notamment les données concernées) et les finalités du transfert (que ce soit pour des problématiques d’hébergement, de réplication de site, d’accès distant, ou autre) .

• Pour les sous-traitants des fournisseurs situés aux États-Unis, préciser la ou les entités destinataires de données et s’engager à renouveler régulièrement leur adhésion au Privacy Shield .

• Pour leurs sous-traitants situés hors UE, les fournisseurs doivent signer les clauses contractuelles types au nom et pour le compte de leur client, mettre en œuvre des BCR, adhérer à un code de conduite ou détenir une certification agréés par le Groupe de Travail .

Le fournisseur s’engage à ne pas transférer des données vers d’autres pays que ceux visés ci-dessus .

Le fournisseur s’assure que son ou ses sous-traitants sont soumis aux mêmes obligations, en matière de protection de données, que celles fixées dans le RGPD et dans le contrat avec le client, et qu’ils les respectent . Il vérifie, en particulier, que son ou ses sous-traitants mettent en œuvre les mesures techniques et organisationnelles appropriées à cet effet .

Le fournisseur s’interdit de transférer des données à caractère personnel à tout destinataire qui ne serait pas prévu au contrat, sauf sous-traitant autorisé par le client conformément au chapitre 9 .

3 Les engagements et les actions des fournisseurs


Les clients des fournisseurs devront pouvoir, avant tout contrat :

• Obtenir la liste exhaustive des pays vers lesquels sont effectués les transferts de données à caractère personnel .

• Vérifier l’adhésion éventuelle du fournisseur (américain) au Privacy Shield (www.privacyshield.gov/list).

• Obtenir une copie des CCT (clauses types) signées par le fournisseur avec ses sous-traitants.

• Vérifier l’existence de BCR, ainsi que les engagements à respecter un code de conduite ou à détenir une certification agréés par le Groupe de Travail .

4 Les moyens de contrôle

Concernant la licéité des traitements, le client doit avoir l’assurance que le fournisseur ne met pas en œuvre d’autre traitement, sur les données auxquelles le client lui donne accès, que le traitement confié ou demandé par le client .

Par ailleurs, le fournisseur s’engage à ce que les données, ainsi que les informations sur le traitement, soient conservées, auditables et aisément accessibles au client .

Le fournisseur assiste le client afin que les données collectées ne soient que celles nécessaires au traitement, au regard de la solution ou des services proposés (notamment en mode SaaS) . Il propose les niveaux de sécurité adaptés aux types de données et aux finalités des traitements prévus pour sa solution ou ses services .

Plusieurs conditions doivent être réunies pour les traitements basés sur le consentement de la personne, en particulier l’existence, dans les solutions proposées par le fournisseur :

• D’un dispositif d’enregistrement et de conservation du consentement.

• D’un dispositif simple de retrait de consentement et communicable dès la demande de la personne concernée .

• D’une fonctionnalité permettant d’accéder aux traces des consentements et de leurs retraits.

En outre, il est nécessaire que les procédures mises en place pour établir et prouver le consentement et celles permettant de le retirer soient documentées, et qu’elles permettent de répondre de manière simple et rapide aux demandes des personnes concernées qui exercent leurs droits d’accès, d’opposition ou à l’oubli (voir chapitre 11) .

Dans le cas d’un mineur en-dessous de l’âge légal, le fournisseur doit prévoir une fonctionnalité permettant de gérer le consentement de la personne se présentant comme titulaire de la responsabilité parentale et d’attester qu’elle est bien le représentant légal du mineur en question .

Les articles 6 à 8 du RGPD portent sur la licéité des traitements et les conditions applicables au consentement des personnes dont les données font l’objet d’un traitement .

Les bases légales de traitement et consentement




PAGE 12

Le fournisseur doit s’engager :

• À ne pas mettre en œuvre de traitement autre que ceux confiés ou demandés par le client.

• À conserver les informations de manière à permettre l’exercice par le client de ses droits d’audit.

• À ne prévoir dans sa solution que des données correspondant à la finalité de celle-ci et nécessaires au traitement .

• À privilégier la solution la plus sécurisée (anonymisation, pseudonymisation, chiffrement) au regard des types de données susceptibles d’être traités et à valider la solution en commun accord avec le client .

Lorsque le traitement mis en œuvre est basé sur le consentement de la personne, le fournisseur doit proposer une fonctionnalité permettant de gérer le consentement (enregistrement et gestion des accords et retraits de consentement), ainsi qu’une journalisation des traces des consentements et des retraits des consentements .

Dans le cas de traitements concernant des mineurs en dessous de l’âge légal, le fournisseur doit prévoir une fonctionnalité permettant de gérer le consentement du titulaire de la responsabilité parentale et d’attester à la fois sa qualité de représentant légal et l’âge du mineur en question .

Les clients devraient :

• Vérifier la présence de clauses interdisant tous autres traitements que ceux qu’ils confient ou demandent aux fournisseurs .

• Disposer des informations à fin d’audit sous forme numérique exploitable permettant notamment de contre-vérifier les informations (ex : logs de connexion) .

• Vérifier que le fournisseur a documenté les procédures mises en place pour ses services et communique de manière transparente les types de données effectivement conservés par sa solution .

Lorsque le traitement mis en œuvre est fondé sur le consentement de la personne, il convient de vérifier la présence d’une fonctionnalité opérationnelle de gestion du consentement et de conservation des actes associés .

Les mêmes vérifications s’imposent dans le cas de traitements concernant des mineurs en dessous de l’âge légal .




PAGE 13

Les articles 37 à 39 imposent la nomination d’un délégué à la protection des données personnelles (DPD, DPO en anglais) dans certains cas (secteur public, volumes de données importants…) et en précisent les missions (information, contrôle, conseil, coopération…) .

L’article 27 impose la désignation d’un représentant au sein de l’Union européenne lorsque le sous-traitant n’y est pas lui-même établi .

Le délégué à la protection des données personnelles (DPD/DPO)

Le délégué à la protection des données personnelles


Dans le cas où le fournisseur n’est pas tenu de nommer un DPD, il s’engage à désigner un point de contact unique et qualifié sur les sujets de protection des données personnelles . Il s’assure que ce contact soit effectivement joignable, y compris en dehors des heures ouvrées en cas d’urgence .

Le fournisseur publie les coordonnées complètes (nom, fonction, adresse, e-mail, téléphone) de son DPD ou communique à son client celles de son contact (si celui-ci n’est pas DPD) . Il les met à jour en cas de changement .



Les clients pourront tester régulièrement l’existence et l’accessibilité des points de contact, ainsi que la validité de leurs coordonnées . De même, il convient de vérifier la preuve de la fourniture de ces informations directement aux autorités de contrôle, lorsque le contact est un DPD . En cas de recours à un DPD externe, la preuve d’un contrat de service entre le fournisseur et son sous-traitant devra être apportée .

Un point de contact (DPD, représentant dans l’Union européenne, ou autre) doit être désigné et facilement accessible, y compris en période de congés, durant les week-ends ou en dehors des horaires de travail .


PAGE 14

Le fournisseur s’engage à ne répondre aux demandes émises par les autorités de contrôle, afin de mettre le traitement en conformité avec la décision prise par ces dernières, qu’après avoir préalablement consulté le client et obtenu ses instructions .

Le fournisseur doit transmettre au responsable de traitement les mises en conformité qu’il compte mettre en œuvre et les valider avec lui, puis l’informer des mesures effectivement prises .

Le client pourra vérifier l’existence d’une clause dans les contrats, formalisant les engagements du fournisseur et l’identification du point de contact chez ce dernier . Compte tenu qu’il s’agit d’une contrainte réglementaire, le coût de ces actions doit être inclus dans la prestation de base du fournisseur . Ces actions doivent être menées dans un délai permettant au client de respecter les exigences de l’autorité de contrôle .



Les articles 55 à 59 du RGPD décrivent les missions et les compétences de l’autorité de contrôle .

Les relations avec l’autorité de contrôle

Les relations avec l’autorité de contrôle



Le fournisseur s’engage à répondre aux demandes d’information et aux contrôles effectués directement ou via le client, par les autorités de contrôle ou leurs représentants, notamment en cas de risque de violation des dispositions du RGPD, d’injonction de mise en conformité ou de demande d’exercice de leurs droits par les personnes concernées par le traitement, dans la langue acceptée par l’autorité de contrôle compétente .

PAGE 15

L’article 5 expose les principes relatifs aux traitements des données à caractère personnel, l’article 24 précise les responsabilités du responsable de traitements et l’article 25 détaille l’approche Privacy by Design . L’article 30 concerne le registre des activités de traitement .

La responsabilité (« accountability ») et la gouvernance des données

La responsabilité et la gouvernance des données



Concernant les principes relatifs aux traitements des données, les solutions ou services du fournisseur doivent expliciter les modalités de collecte (saisie, capture, enregistrement…) des données et de recueil du consentement de la personne concernée sur l’objet, sur les finalités du traitement, ainsi que sur la durée de conservation des données . Les modalités de mise à jour régulière, nécessaire pour garantir l’exactitude des données, doivent également être exposées .

Par ailleurs, les données doivent être, si possible, chiffrées ou, au moins, sécurisées de manière appropriée par rapport aux risques encourus . Dans tous les cas, les solutions ou services considérés doivent permettre d’assurer la sauvegarde des données, et de réserver leur accès aux seules personnes habilitées par le client .

PAGE 16

Chaque fournisseur doit fournir à ses clients la capacité de modifier ou de supprimer leurs données, de les chiffrer et de gérer une hiérarchie d’accès aux données . Il doit également fournir à ses clients une description des procédures de sécurité techniques et organisationnelles qu’il met en œuvre pour garantir la protection des données qu’il traite pour leur compte .

Le fournisseur tient à jour son registre de traitement, y compris par rapport aux traitements effectués pour le client . Il rend ce document disponible ou le fournit au client sur simple demande, avec l’exhaustivité du détail de leurs caractéristiques (contenu, sécurité, destination, catégories de personnes concernées) . Il doit également fournir à son client une description explicite des mesures de sécurité techniques et organisationnelles qu’il met en œuvre pour les activités qu’il réalise pour le compte du client .

Dans l’hypothèse où les accès du client à la solution ou aux services à distance (SaaS) du fournisseur seraient suspendus, quelle qu’en soit la cause, le fournisseur sera de plein droit considéré comme redevable des obligations de responsable du traitement pour toute la durée de la suspension des accès du client .


La responsabilité et la gouvernance des données

PAGE 17

Pour permettre de vérifier le respect de l’approche Privacy by Design, le fournisseur devra communiquer au client ses documents de certification éventuelle et son plan d’assurance qualité, tenant compte de la sensibilité des données .

Le client doit également avoir la possibilité d’auditer ou de faire auditer le traitement et les moyens mis en œuvre pour l’effectuer, les accès, les durées de vie des données et leurs mises à jour .

Le fournisseur s’engage à établir les éléments suivants, et à les conserver pour une durée minimale de six mois, sauf autre durée prévue au contrat ou par la réglementation :

• La procédure définissant les personnels du fournisseur ou de ses sous-traitants habilités à accéder aux données du client ainsi que les moyens d’accès .

• La liste à jour des personnels du fournisseur et, le cas échéant, de ses sous-traitants habilités à accéder aux données du client .

• La journalisation des accès physiques et logiques aux données du client.

Le fournisseur s’engage à mener régulièrement des contrôles sur les accès logique et physique de ses personnels et de ses sous-traitants ayant accédé aux données et sur les actions effectuées . Il conserve les résultats de ses contrôles pour une durée minimale de six mois, sauf autre durée prévue au contrat ou par la réglementation, et les tient à disposition du client .


3 Les engagements et les actions des fournisseurs (suite)

Le fournisseur doit s’engager à apporter aide et conseil, et notamment répondre aux demandes du client, à propos de l’élaboration d’une analyse d’impact et, le cas échéant, fournir tous éléments de réponse dans l’évaluation par le client de la conformité du traitement à l’analyse d’impact .

De même, le fournisseur doit alerter le client lorsqu’il identifie la nécessité de réaliser une analyse d’impact et doit fournir toutes informations nécessaires pour répondre, le cas échéant, aux demandes d’information complémentaires formulées par l’Autorité de contrôle .

Les engagements des fournisseurs mentionnés ci-dessus s’appliquent, selon le cas, avant, pendant et après la conclusion de leurs contrats avec les clients, et doivent faire l’objet de clauses spécifiques .



Les articles 35 et 36 portent sur la réalisation d’une analyse d’impact et la consultation préalable de l’autorité de contrôle lorsque les traitements présentent des risques élevés .

L’analyse d’impact relative à la vie privée (DPIA)

L’analyse d’impact relative à la vie privée (DPIA)


2 Les points de contrôle à privilégierLe fournisseur devrait s’engager à apporter conseil et assistance à son client lorsque ses solutions ou services sont destinés à, ou permettent de réaliser des types de traitement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques . Dans un tel cas, il devrait communiquer sa propre analyse d’impact ou apporter conseil au client sur la nécessité et l’élaboration éventuelles de la sienne . Le cas échéant, il devrait aider celui-ci à évaluer si le traitement est effectué conformément à l’analyse d’impact .

Par ailleurs, le fournisseur devrait alerter le client lorsqu’une analyse d’impact s’avère nécessaire au regard des informations dont il dispose sur le traitement envisagé . Lorsque l’analyse d’impact indique un risque élevé et nécessitant la consultation de l’Autorité de contrôle, le fournisseur devrait assister son client, sur demande de celui-ci, pour répondre aux demandes d’information formulées par l’Autorité de contrôle .

PAGE 18

Les articles 32 à 34 concernent la sécurité des traitements, la notification à l’autorité de contrôle, en cas de violation, ainsi que la communication aux personnes concernées .

La sécurité et la notification des violations de sécurité



PAGE 19

10


Le client doit avoir la garantie du respect de la sécurité du traitement (chiffrement, pseudonymisation, confidentialité, intégrité, disponibilité, etc .) . Le prérequis à tout contrat devrait être l’obtention d’une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre par le fournisseur .

En cas de violation de données, le fournisseur devra être tenu d’en identifier l’existence, les modalités de survenance et les impacts présents et futurs pour le client et les personnes concernées . Par ailleurs, le fournisseur devrait conseiller le client ou l’assister pour assurer, le cas échéant, l’information des personnes concernées par la violation de données .

Il sera interdit au fournisseur d’informer directement les personnes concernées par une violation . Sauf clause expresse contraire dans leur contrat, seul le client responsable de traitements sera informé, à charge pour lui de faire le nécessaire auprès des personnes concernées .

Le fournisseur doit tenir à jour le registre des activités de traitement qu’il effectue pour le compte du client . Il met en œuvre les mesures de sécurité techniques et organisationnelles appropriées (chiffrement, pseudonymisation, confidentialité, intégrité, disponibilité, résilience des systèmes et services, etc .) pour garantir un niveau de sécurité adapté aux risques liés au traitement et aux données . Il en communique une description générale au client et, pour les cas d’incident, son plan d’actions correctives .

Le fournisseur doit, par ailleurs, mettre en œuvre une procédure et les moyens nécessaires pour tester, analyser, évaluer et documenter l’efficacité des mesures techniques et organisationnelles qu’il prend pour assurer la sécurité du traitement . Il doit être en mesure d’en produire à tout moment une description détaillée, complète et à jour .

Les données devront être identifiées, ainsi que les procédures mises en œuvre pour les protéger, notamment pour identifier des conséquences probables de toute violation pour les personnes concernées .

Les intégrateurs et les prestataires de services SaaS doivent décrire leur système de monitoring concernant les intrusions, avec la procédure d’alerte applicable à de tels cas .


Le fournisseur doit notifier le client de toute violation de donnée dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance, et lui communiquer les informations nécessaires (modalités de survenance, étendue, impacts futurs pour le client et les personnes concernées) ainsi que le plan d’actions correctives qu’il prévoit . Ce plan doit fournir les informations nécessaires pour permettre au client d’informer les personnes concernées par la violation . Le fournisseur met en œuvre dans les meilleurs délais toute action nécessaire pour mettre fin à toute fuite de données et, dès validation par le client, pour prévenir toute fuite comparable dans le futur . Il s’engage à conseiller le client ou à l’assister, le cas échéant et sur demande de ce dernier, pour assurer l’information de ces personnes .


Les moyens de contrôle sont principalement des audits, internes et externes . Le client devra pouvoir vérifier ou faire vérifier, par exemple, la proportion d’informations du registre inexactes ou non conformes de quelque autre manière au RGPD, ainsi que le respect des normes ISO de sécurité ou des chartes de sécurité applicables aux activités de traitement du fournisseur .

Les éléments suivants devront pouvoir être contrôlés à tout moment dans le cadre d’un audit ou d’un mécanisme de certification :

• Les résultats de la (ou des) procédure(s) de test et évaluation suivies par le fournisseur sur les 18 derniers mois .

• Le chiffrement éventuel des données.

• L’existence et le respect d’un plan d’assurance qualité.

• Les dispositifs et les mesures techniques et organisationnelles mis en œuvre pour garantir la sécurité des données (y compris les tests d’intrusion) .

• La procédure définissant les personnels du fournisseur ou de ses sous-traitants habilités à accéder aux données du client ainsi que les moyens d’accès concernés .

• La liste des personnels du fournisseur ou de ses sous-traitants habilités à accéder aux données du client .

• Les contrôles réalisés sur les accès logique et physique des personnels du fournisseur ou de ses sous-traitants ayant accédé aux données .

• La procédure décrivant le dispositif de gestion des violations de données,

• Les mécanismes d’alerte en cas de violation des données.

• Le nombre de violations de données subies sur les 18 mois précédents et le nombre de violations déclarées .


PAGE 20

3 Les engagements et les actions des fournisseurs (suite)

Les clients vérifient l’existence d’une clause dans les contrats pour encourager le fournisseur à adhérer à des associations ou organismes éditant ou promouvant des normes ou règles de bonnes pratiques, et à les appliquer .

Par ailleurs, le fournisseur devra informer le client des mécanismes de certification et des labels ou des licences de marques démontrant son respect du RGPD et, le cas échéant, de tout code de conduite applicable, pour lesquels il a souscrit .


Les articles 40 à 43 concernent les codes de conduite et la certification .

Les certifications et les codes de conduite

Les certifications et les codes de conduite


2 Les points de contrôle à privilégier et les engagements des fournisseurs

Les clients attendent que le fournisseur adhère aux codes élaborés par les associations ou autres organismes ayant vocation à établir et promouvoir des codes de conduite en lien avec la protection des données à caractère personnel . Le fournisseur démontrera son respect de tels codes par tout moyen approprié . Par ailleurs, il communique à ses clients tout certificat ou label certifiant qu’il respecte les exigences du RGPD et, le cas échéant, de tout code de conduite applicable .

PAGE 21


Par hypothèse dans le présent guide, le client détermine seul les finalités et les moyens du traitement de données à caractère personnel qu’il envisage. À ce titre, il est considéré comme le « responsable du traitement » .

Le client doit choisir son fournisseur - sous-traitant en s’assurant qu’il a la capacité et présente les garanties suffisantes pour mettre en œuvre le traitement de manière conforme au RGPD . Cette vérification doit être effectuée avant de s’engager dans un contrat .

Par conséquent il est important de contrôler la répartition des rôles proposée, afin de vérifier la qualité de chaque partie et, ainsi, d’identifier les responsabilités qui en découlent . Pour rappel, le présent guide vise la seule hypothèse où le fournisseur agit exclusivement pour le compte et sur instruction du client, et demeure ainsi « sous-traitant » .

À cet égard, les clauses du contrat peuvent être considérées comme valant « instruction » de la part du client - responsable de traitement . Il convient par conséquent d’être vigilant sur les clauses et sur la marge d’adaptation laissée au client .

Par ailleurs, le RGPD demande que l’accord avec le sous-traitant définisse l’objet et la durée du traitement, sa nature et sa finalité, le type de données à caractère personnel et les catégories de personnes

PAGE 22

Les articles 28 et 29 concernent les « sous-traitants » (voir lexique) .

Ces articles posent en principe que le sous-traitant n’est pas autorisé à traiter les données à caractère personnel auxquelles il a accès, sauf sur instruction documentée du responsable de traitement .

L’article 28 définit plus spécifiquement les obligations propres au sous-traitant . Ces obligations lui sont directement applicables . Le contrat avec le responsable du traitement doit préciser comment les mettre en œuvre .

Les articles 28 et 29 concernent les « sous-traitants » (voir lexique) .

Ces articles posent en principe que le sous-traitant n’est pas autorisé à traiter les données à caractère personnel auxquelles il a accès, sauf sur instruction documentée du responsable de traitement .

L’article 28 définit plus spécifiquement les obligations propres au sous-traitant . Ces obligations lui sont directement applicables . Le contrat avec le responsable du traitement doit préciser comment les mettre en œuvre .

Le responsable de traitement ne pourra s’exonérer de sa responsabilité que s’il prouve que le sous-traitant n’a pas respecté les obligations qui lui sont propres ou les instructions qu’il a reçues du responsable de traitement (art .82) .

Aussi la notion de « sous-traitant » au sens du RGPD est-elle plus étroite que dans l’usage courant . En particulier, dans l’hypothèse où un fournisseur, présumé « sous-traitant », déterminerait les finalités et les moyens du traitement, il serait considéré comme responsable de traitement, le cas échéant de manière conjointe avec son client .

Les obligations des fournisseurs sous-traitants



L’offre formulée par le fournisseur comprend les mesures techniques et organisationnelles appropriées visant à assurer la sécurité des données (cf . chapitre 7), lesquelles doivent être adaptées aux types de données destinés à être traités par sa solution ou son service .

Le fournisseur ne traite les données que sur et selon les instructions documentées du client .

Le fournisseur s’interdit de déléguer tout ou partie du traitement à un sous-traitant qui ne présente pas les garanties suffisantes et qui n’a pas fait l’objet d’une autorisation écrite préalable du client (que le sous-traitant soit situé dans ou en-dehors de l’Union européenne) .

Le fournisseur soumet ses employés et ses propres sous-traitants à une obligation de confidentialité stricte sur les données et leur traitement . Il s’assure que toute personne physique y ayant accès ne les traite pas, sauf celles qu’il a désignées pour effectuer les prestations fournies au client .

Si le fournisseur est saisi d’une demande d’une personne concernée par le traitement, il aide le client à y donner suite, selon les instructions du client .

Au terme de la prestation relative au traitement, selon le choix du client et sauf exception légale, le fournisseur supprime toutes les données ou les renvoie au client . Il détruit les copies existantes .

Le fournisseur devra souscrire aux obligations recommandées dans les autres chapitres du présent Guide, notamment sur la sécurité du traitement .

Le fournisseur met le client en mesure de s’assurer du respect des instructions communiquées par celui-ci . Il tient à disposition du client tout document utile à cet effet, comme détaillé ci-après . Il garantit au client sa capacité d’auditer ou faire auditer ses sous-traitants .

concernées, ainsi que les obligations et les droits du responsable du traitement comme du sous-traitant .

Dans l’éventualité où le fournisseur sous-traitant n’a pas besoin d’accéder aux données à caractère personnel pour réaliser ledit traitement, il est conseillé de lui en interdire l’accès sur le plan technique comme sur le plan contractuel, en mettant en place une solution de chiffrement de ces données .

Enfin, le fournisseur doit informer ses sous-traitants de l’existence d’un code de conduite auquel lui-même adhère, le cas échéant, et s’engager alors à le faire appliquer .

Le fournisseur communique les informations et met à disposition les pièces démontrant le respect de ses obligations . Les pièces (par exemple, registre de traitements, liste de ses personnels habilités, rapports d’audit, certification en vigueur…) sont rendues accessibles au client en ligne, via un espace personnel ou un portail .

En cas d’audit initié ou subi par le client, le fournisseur communique dès demande les engagements écrits de tout sous-traitant qui intervient dans le traitement des données du client et qui démontrent la conformité de cette intervention aux obligations du fournisseur et aux instructions du client . Ces engagements comprennent, le cas échéant, les clauses contractuelles types ou les Binding Corporate Rules signés par le sous-traitant .

Le contrat devra préciser les conditions de responsabilité du fournisseur, notamment en cas d’atteinte à l’image de marque du client et de perte de confiance de la part des personnes concernées, en interne ou en externe, dans l’hypothèse où le sous-traitant aurait utilisé des données personnelles en violation de ses obligations ou des instructions du client . Le contrat peut formuler des exemples, comme le cas où un fournisseur de service SaaS utiliserait des adresses électroniques du client pour promouvoir ses propres services .




PAGE 23

2 Les points de contrôle à privilégier (suite)

Le client doit pouvoir vérifier l’existence de ces fonctionnalités .


Les articles 12 à 14 concernent la transparence des informations et des communications, les modalités de l’exercice des droits de la personne concernée, ainsi que les informations à fournir lorsque des données à caractère personnel sont collectées, directement ou non .

Le fournisseur doit disposer d’une fonctionnalité de :

• Information des utilisateurs sur les finalités du traitement, les types de données qui en font l’objet, les destinataires, la durée de conservation ainsi que toutes autres informations légalement requises .

• Définition de la durée de rétention des données, par type de donnée (par exemple : salaires, transactions financières, données fournisseurs ou client, etc) .

• Traitement par lot de la durée de rétention par type de données, avec possibilité de suppression, de « pseudonymisation », d’archivage avec accès restreint, etc .

L’information des personnes et la transparence

L’information des personnes et la transparence




Le fournisseur doit fournir les outils pour informer les utilisateurs des données personnelles collectées et de leur destination, et pour leur permettre d’exercer leurs droits d’accès, de rectification et de suppression . Le traitement des données doit s’effectuer uniquement dans le cadre du contrat et de la finalité définie par le client .

Le client pourra réaliser ou faire réaliser des tests et des audits, afin de vérifier la capacité des utilisateurs des solutions ou services du fournisseur à identifier les données traitées et leur mise à jour, à extraire des données et, plus généralement, à mettre en œuvre les fonctionnalités décrites en section B ci-dessus .


Les articles 15 à 22 portent sur les droits d’accès de la personne concernée par le traitement, de rectification, d’effacement, de limitation, sur l’obligation de notification, sur les droits à la portabilité et à l’opposition, ainsi que sur les décisions individuelles automatisées telles que le profilage .

Les droits des personnes

Les droits des personnes



Pour se conformer aux exigences du RGPD, les solutions ou services proposés par le fournisseur doivent :

• Garantir la mise à disposition gratuite des informations dues aux personnes concernées à propos des données et du traitement effectué pour le compte du client .

• Offrir la possibilité de mettre à jour les données à caractère personnel.

• Permettre de prouver la suppression effective de toute donnée, lorsque demandée.

• Offrir la possibilité de retirer temporairement du traitement tout ou partie des données, afin de pouvoir répondre à toute demande de limitation de leur périmètre .

• Permettre d’identifier toute modification ou suppression de donnée.

• Permettre d’informer les personnes concernées de tout destinataire auquel les données sont communiquées .

• Offrir la possibilité d’extraire les informations dans un format structuré, couramment utilisé et lisible de manière automatisée .

• Disposer des interfaces nécessaires pour mettre à jour les informations personnelles dans les délais prévus au contrat .

PAGE 25

Les articles 82 et 83 concernent le droit à réparation et les responsabilités des responsables de traitement, ainsi que les conditions générales pour imposer des sanctions administratives . Le respect des codes de conduite approuvés est pris en compte dans l’application des sanctions prévues par le RGPD .

Les sanctions

Les sanctions



Si le fournisseur estime qu’il n’est pas responsable d’une violation de données ou de droits de personnes concernées par le traitement, il communique dans les meilleurs délais au client son analyse et ses éléments démontrant que le fait à l’origine de la violation ou du dommage ne lui est pas imputable . Il assiste le client en tant que de besoin pour démontrer la conformité du traitement au RGPD et à toutes autres obligations applicables .

PAGE 26

Anonymisation : modification du contenu ou de la structure de données à caractère personnel afin de les rendre impossibles à individualiser, à corréler ou à inférer, cela de manière irréversible .

Certification : validation, conformément au RGPD et au terme d’un processus d’évaluation par un organisme de certification indépendant, une Autorité de contrôle ou le comité prévus par le RGPD, du respect du RGPD et de tous autres engagements associés, y compris issus d’un code de conduite .

Code de conduite : document élaboré par une association, un groupement d’intérêts ou un consortium en vue de contribuer à la bonne application du RGPD en tenant compte de la spécificité du marché considéré . Un code de conduite qui concerne des activités de traitement menées dans plusieurs états membres peut, sur approbation de l’Autorité de contrôle, du Comité européen de la protection des données et de la Commission européenne, être rendu d’application générale au sein de l’Union .

Données : vise les données à caractère personnel dont le client confie ou demande le traitement, en tout ou partie, au fournisseur .

DPD / DPO : délégué à la protection des données (data protection officer) . Il est désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions » (article 37 .5 du RGPD) .

Fournisseur : dans le cadre de ce document, le terme générique de « fournisseur » désigne indifféremment l’un des trois types de fournisseurs retenus ici : éditeur de progiciels fournis « sur site », intégrateur, ou prestataire de services SaaS .

Intégrateur : prestataire de services informatiques en charge de l’intégration d’un ou plusieurs logiciels dans le système d’information du client, de leur personnalisation selon les besoins du client et, le cas échéant, de leur déploiement sur les sites du client .

Privacy by Design : en français « protection de la vie privée dès la conception » . C’est une approche de l’ingénierie des systèmes d’information qui prend en compte la vie privée tout au long du processus et notamment durant dès sa conception initiale .

Pseudonymisation : traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable .

Responsable de traitement : personne qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement . Le présent guide ne vise que les hypothèses dans lesquelles seul le client peut être considéré comme responsable de traitement .

Sous-traitant : prestataire de service qui traite des données à caractère personnel pour le compte d’un client responsable du traitement .

Lexique

Lexique

PAGE 27

ISBN

: 2-

9523

607-

0-7

/ 2

5 e

rgpd règlement général sur la protection des données personnelles · 2018. 6. 19. · 03 • le...

Documents