Les nouvelles obligations des éditeurs de logiciels SaaS au regard du Règlement UE 2016/679 relatif à la protection des données à caractère personnel

L’éditeur de logiciel SaaS traite des données, personnelles et non personnelles relatives à son client et aux clients de son client. En tant que sous-traitant des données personnelles de son client, l’éditeur de logiciel SaaS a de très nombreuses obligations au regard du Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « Règlement »).

Un « sous-traitant» est la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. L’éditeur de logiciel Saas est donc bien le sous-traitant des données pour le compte de son client utilisateur du logiciel.

Lorsque le responsable du traitement et le sous-traitant déterminent ensemble les finalités du traitement et les moyens, il y a « responsabilité conjointe ».

Les nouvelles obligations du sous-traitant et donc de l’éditeur de logiciel SaaS sont notamment les suivantes :

1/ La rédaction d’un contrat : la relation entre l’éditeur de logiciel et son client doit être régie par un contrat écrit, définissant l’objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées. Il peut s’agir d’un contrat électronique.

En cas de responsabilité conjointe, le responsable du traitement et le sous-traitant doivent définir dans le contrat, leur responsabilité et rôle respectif dans l’exécution des devoirs qui leur incombent en application du Règlement et prévoir qu’un résumé de cet accord soit mis à la disposition des personnes concernées par le traitement de données (article 26).

Le contrat doit prévoir que le sous-traitant :

  • ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ;
  • veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • prend toutes les mesures de sécurité requises ;
  • respecte les conditions pour recruter un autre sous-traitant ;
  • tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits ;
  • aide le responsable du traitement à garantir le respect des obligations prévues dans le Règlement ;
  • selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel ;
  • met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits.

La Commission et/ou la CNIL établiront certainement des clauses contractuelles types.

2/ Chaque sous-traitant doit tenir un registre écrit de toutes les catégories d’activités de traitement de données effectuées pour le compte du responsable du traitement, comprenant :

a) le nom et les coordonnées des autres sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du délégué à la protection des données;

b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;

c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ;

d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

3/ Le sous-traitant doit désigner un DPO[1] dans les mêmes conditions qu’un responsable de traitement.

4/ Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability. Il a notamment une obligation de conseil auprès du responsable de traitement (le client) pour la conformité à certaines obligations du règlement (PIA[2], failles, sécurité, destruction des données, contribution aux audits).

Le sous-traitant doit :

  • évaluer les risques inhérents au traitement (en fonction de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les personnes concernées) ;
  • mettre en œuvre, en fonction de son analyse des risques, des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (par exemple la pseudonymisation et le chiffrement des données à caractère personnel) ;
  • doit effectuer une analyse d’impact relative à la protection des données lorsqu’un traitement est susceptible d’exposer les personnes à un risque élevé au regard de leurs droits et libertés, notamment ceux qui recourent aux nouvelles technologies, pour évaluer, en particulier, l’origine, la nature, la portée, le contexte, la particularité et la gravité de ce risque (article 35) ;
  • présenter des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du Règlement, y compris en matière de sécurité du traitement. Le sous-traitant est incité à adopter un code de conduite ou un mécanisme de certification.

5/ Le sous-traitant n’a pas le droit de recruter un sous-traitant sans l’autorisation du responsable. Les obligations ci-dessus doivent également être imposées au 2ème sous-traitant.

6/ Si une personne a subi un dommage matériel ou moral du fait d’une violation du Règlement, elle pourra demander réparation du préjudice subi au responsable du traitement ou au sous-traitant.

Le sous-traitant ne pourra être exonéré de responsabilité que s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

SANCTIONS : en cas de violation des dispositions du Règlement, les amendes administratives pourront atteindre jusqu’à 20 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Le Règlement entrera en vigueur en mai 2018.

Charlotte GALICHET

 

[1] Data Protection Officer

[2] Etude d’impact sur la vie privée

Bookmark the permalink.

Comments are closed