RGPD : des sanctions possibles pour TOUTES les entreprises, TPE/PME comprises.
D’une manière générale, ce sont les petites entreprises qui risquent de négliger le RGPD car elles ne se sentent pas vraiment concernées. Pourtant, comme les autres, les TPE/PME disposent de données, plus ou moins sensibles, se rapportant à des personnes physiques identifiées ou identifiables (ne serait-ce que celles de leurs salariés !). Le RGPD concerne en effet les entreprises de toute taille, localisées ou non en Europe, du moment qu’elles possèdent et traitent des données personnelles relatives à un citoyen européen…
Pour toutes, le risque de sanction est bien réel : si un de vos clients, prospects ou concurrents adresse une plainte à la CNIL, cette dernière aura l’obligation d’effectuer un contrôle. Cela peut donc arriver plus vite qu’on ne le croit ! Et les sanctions liées à une exploitation illégale des données seront sévères : les amendes prévues peuvent atteindre 4% du chiffre d’affaires annuel.
Il est préférable de se mettre en conformité le plus rapidement possible ! Car au-delà de la sanction financière, une non-conformité peut tout de même vous nuire si une personne porte plainte …
Ne pas se mettre en conformité, c’est nuire à mon image.
Les répercussions d’une sanction publique auraient un impact extrêmement négatif sur la confiance de vos clients, prospects et même de vos collaborateurs… Mais même sans sanction, le simple fait de ne pas se mettre en conformité avec le RGPD, c’est prendre un parti tranché, qui pourrait entacher votre image. En effet, vos clients, partenaires et prospects risquent fort de vous demander si vous êtes en conformité avec le RGPD, avant de collaborer avec vous.
De même, si vous êtes fournisseur ou sous-traitant et que l’on vous demande de signer les clauses « données personnelles » et « responsabilité » dans vos contrats : vous serez bien embarrassé ! Et votre business en pâtirait sans aucun doute. Dommage, car en respectant le règlement sur les données personnelles, vous pourriez, au contraire, entrevoir de nouvelles opportunités…
Le RGPD peut être source de business supplémentaire.
Ceux qui ne se plieront pas aux règles imposées par le RGPD, seront hors la loi, mais en plus, ils passeront à côté d’une belle opportunité de communication. En effet, quitte à faire les efforts nécessaires pour se mettre en conformité avec la réglementation, autant que cela se sache !
Et pour cause, alors qu’il est souvent considéré comme une contrainte, le RGPD peut devenir un véritable avantage concurrentiel. Comment ? Tout simplement en mettant en avant vos démarches de mises en conformité dans votre communication. Un bon moyen de prendre l’avantage face à vos concurrents qui n’auraient pas encore entamé ces démarches ou qui n’auraient pas eu l’idée de communiquer dessus !
En conclusion, les risques liés à une non-conformité avec le RGPD sont réels. TPE, PME et grands groupes doivent tous commencer les démarches dès à présent pour respecter cette nouvelle loi et éviter de douloureuses conséquences.
La mise en conformité n’est pas seulement une contrainte
Certes, la mise en conformité permet d’éviter les sanctions de la CNIL qui sera plus sévère qu’auparavant. Jusqu’ici, si vous étiez loin de Paris et d’une ligne de TGV, ou dans des secteurs d’activité rarement contrôlés, les sanctions étaient plutôt rares. Mais la situation va changer et les contrôles vont se renforcer et se multiplier. Ceci étant, le RGPD est un règlement fort différent des lois françaises habituelles. Il s’agit d’un règlement pragmatique où on ne demande pas aux entreprises d’être parfaites mais de s’améliorer tous les jours.
RGPD : Comment gérer ses sous-traitants ?
Applicable à partir du 25 mai 2018 à l’ensemble de l’Union européenne, le règlement européen sur la protection des données (RGPD) responsabilise les responsables de traitement et sous-traitants qu’ils soient ou non établis au sein de l’Union européenne.
Le règlement impose désormais des obligations spécifiques aux sous-traitants dont la responsabilité peut être engagée.
Un organisme qui traite des données personnelles pour le compte d’un responsable de traitements est considéré comme un sous-traitant. Pour rappel, le responsable de traitements est celui « qui détermine les finalités et les moyens d’un traitement » (article 4). A noter que le présent article ne traite que des seuls sous-traitants, un régime distinct est applicable si le prestataire est responsable conjoint du traitement avec son client.
Les activités des sous-traitants peuvent être différentes avec des tâches précises ou plus générales.
Beaucoup de sous-traitants ne se considèrent pas impliqués dans la conformité au RGPD au seul titre qu’ils ne traitent pas de données pour leurs clients, ou n’y accèdent pas, notamment les prestataires de services informatiques, les éditeurs de logiciels … Or le « traitement » a un sens extrêmement large puisqu’il constitue toute opération effectuée sur ou appliquée à une donnée ou un ensemble de données : collecte, transmission, stockage, modification, communication, enregistrement… (article 4).
Vos prestataires peuvent dans de nombreux cas, avoir accès aux données de leurs clients ou, sans avoir accès à leur contenu, les stocker, les héberger (hébergeur de bases de données clients, société d’archivage…). Ils doivent par conséquent se conformer au règlement.
Gérer la sous-traitance constitue aussi une des obligations imposées par le RGPD au responsable de traitement.
Celui-ci doit en effet, ne faire appel qu’à des sous-traitants présentant des garanties suffisantes en termes techniques et organisationnels (article 28.1)
Le sous-traitant lui-même ne peut faire appel à d’autres sous-traitants que s’il est autorisé au cas par cas, par le responsable de traitement, soit, si ce dernier a consenti une autorisation générale, que s’il a notifié au responsable un changement de sous-traitant, lui permettant de refuser le choix proposé (article 28.2).
Les relations avec le sous-traitant doivent impérativement être encadrées soit par un contrat, soit par un autre acte juridique imposant des obligations minimales au sous-traitant (28.3).
De notre expérience, la communication avec ces sous-traitants n’est pas toujours aisée face à la conformité du règlement : Déni, absence de réponses concrètes ….
La difficulté peut s’allonger si l’organisation a plusieurs prestataires, comme on peut le voir par exemple dans les activités de logistiques et des sous-traitants en cascades, et si le sous-traitant est situé en dehors de l’Union européenne.
Pour ce faire, nous préconisons une démarche en 5 phases :
1°) Dans un premier temps, cartographiez tous les sous-traitants auxquels fait appel l’organisation et identifiez s’ils traitent, ou ont accès à des données personnelles pour le compte de leur client ; dans l’affirmative, analyser leur rôle exact au regard des données traitées (sous-traitant, responsable conjoint).
Auditer de façon approfondie chaque sous-traitant n’est pas réellement envisageable, parfois seules 4 questions permettent d’avoir un ressenti sur la maturité du sous-traitant.
1-Existe-t-il dans l’entreprise un cadre de gouvernance sur la sécurité informatique ?
2-Une politique de sécurité informatique est-elle diffusée aux utilisateurs ?
3-Les utilisateurs sont-ils sensibilisés au nouveau règlement ?
4-Quel type de mesure de protection sont implémentées dans l’entreprise, sont-elles documentées ?
Avec ces premières questions vous êtes en capacité de faire une première évaluation du sous-traitant. De manière générale, les réponses aux questionnaires doivent vous permettre d’évaluer le niveau de risque associé à chaque sous-traitant. Un sous-traitant qui a des réponses négatives devra mener un projet global et un changement de culture d’entreprise, or sans volonté de la direction, il n’a que très peu de chance de satisfaire aux exigences dans le temps.
2°) Une fois le prestataire audité, il faudra négocier avec votre prestataire, au moyen soit d’un avenant, soit d’un accord séparé, des clauses adaptées au niveau de risque, reprenant les obligations minimales du RGPD (mesures de sécurité, gestion de la sous-traitance ultérieure, transfert de données hors de l’Union européenne, assistance du responsable de traitement, notification des violations de données personnelles, etc.).
3°) Pour la sélection des futurs sous-traitants, vous devrez définir un référentiel d’exigences tenant compte des obligations liées au RGPD et adapter votre documentation de consultation.
5°) Comment en pratique, imposer à un sous-traitant de réaliser sa mise en conformité quand vous n’avez pas la possibilité de remplacer le sous-traitant ou de remplacer un logiciel métier qui ne serait pas conforme ?
Vous serez en mesure de démontrer en cas de contrôle que vous avez entamé des diligences. Cependant si le fournisseur persiste, une réponse juridique adaptée devra être faite : outre le fait que le fournisseur se met en risque face à son client (manquement contractuel) il pourra être tenu responsable et sanctionné par la CNIL ou une autre autorité de contrôle compétente ; sachez que désormais vous avez également la possibilité, à compter du 25 mai prochain, de diligenter des audits de fournisseurs même en l’absence de clause contractuelle à ce titre.
Extraits de : Les Avocats (conseil national des barreaux)
Qu’est-ce qu’un sous-traitant ?
En vertu de l’article 4, al. 8, du RGPD, le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».
En pratique, il s’agit donc de la personne qui traite des données à caractère personnel pour le compte du cabinet d’avocats comme par exemple un comptable, un éditeur de logiciel, un hébergeur, etc.
Que faire en cas de sous-traitance ?
L’article 28, al. 3, du RGPD maintient l’obligation de souscrire un contrat liant le sous-traitant au responsable du traitement, tout en précisant ses contours et en fixant des exigences strictes et plus importantes. Ainsi, le contrat liant le cabinet au sous-traitant doit comporter :
• l’objet ;
• la durée ;
• la nature ;
• la finalité ;
• le type de données à caractère personnel ;
• les catégories de personnes concernées ;
• les droits et obligations du responsable de traitement ;
• les mesures de sécurité mises en œuvre concernant le traitement de données à caractère personnel qui sera réalisé.
L’acte juridique en question doit également définir les obligations du sous-traitant relatives à :
• la possibilité de ne traiter les données que sur instruction documentée du responsable du traitement, même en ce qui concerne les flux transfrontières ;
• la confidentialité des données ;
• l’exercice des droits des personnes concernées ;
• l’aide qu’il doit fournir au responsable de traitement par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, pour s’acquitter de l’obligation de donner suite aux demandes des personnes concernées ; l’aide fournie au responsable de traitement pour garantir le respect de ses obligations compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ;
• la suppression des données concernées à l’issue du traitement, ou leur renvoi au responsable de traitement ou leur conservation s’il en est tenu par une disposition nationale ou européenne ;
• la mise à disposition du responsable du traitement de toutes les informations nécessaires pour démontrer le respect de ces obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits ;
• l’éventuel recrutement par le sous-traitant d’un sous-traitant ultérieur, d’un nouveau sous-traitant, et l’obtention de l’autorisation préalable écrite du responsable de traitement relative à ce recrutement qui doit être formalisé par un contrat mentionnant l’ensemble des obligations ci-dessus énumérées.
Les clauses contractuelles liant sous-traitants et responsables de traitement vont donc devoir être beaucoup plus précises tant sur les modalités de traitement que sur la gestion de leurs relations et l’échange d’informations entre eux.
En vertu de l’article 28, al.1, du RGPD, le responsable de traitement a l’obligation de ne recourir qu’à « des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée ».
L’avocat, lorsqu’il agit en qualité de responsable du traitement, a l’obligation, aux termes de l’article 28 du RGPD, de s’assurer que son prestataire informatique, en qualité de sous-traitant, a mis en place des mesures techniques et organisationnelles adaptées lui permettant de respecter la sécurité et la confidentialité des données. La conclusion d’un contrat est obligatoire entre l’avocat et ses sous-traitants et doit réserver une faculté d’audit pour permettre de vérifier la mise en œuvre conforme des mesures précitées.
Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Que faire avec les sous-traitants avec lesquels le cabinet est déjà en relation commerciale ?
Les cabinets d’avocats devront interroger leurs sous-traitants sur les garanties qu’ils ont mises en place afin de garantir leur conformité au RGPD.
Dans le cas où le cabinet d’avocats identifie des lacunes dans les mesures mises en place par le sous-traitant, ils devront conclure un avenant au contrat afin de combler lesdites lacunes.
Autorité de contrôle et sanctions
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du RGPD.
Les autorités de contrôle (en France, la CNIL) peuvent notamment :
• Prononcer un avertissement ;
• Mettre en demeure l’entreprise ;
• Limiter temporairement ou définitivement un traitement ;
• Suspendre les flux de données ;
• Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
• Ordonner la rectification, la limitation ou l’effacement des données.
S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.
S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement pour le territoire de toute l’Union européenne.
Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de contrôle sera infligée à l’entreprise.