RGPD : une autorégulation « à marche forcée » des entreprises, bien avant mai 2018
Il suffit d’être actuellement au cœur d’une ou de plusieurs mission(s) de mise en conformité au RGPD pour s’apercevoir que les entreprises s’organisent non seulement au regard des données qu’elles traitent, mais de celles qu’elles confient à leurs sous-traitants.
La raison vient notamment du fait que le RGPD a vocation à donner un rôle plus important au sous-traitant notamment par rapport aux données qu’on lui confie ou encore qu’il permet, par ses outils informatiques, au responsable de traitement de traiter.
Le RGPD met en place une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données à caractère personnel.
Il impose des obligations spécifiques aux sous-traitants qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements (article 28 du Règlement).
Il n’est pas nouveau qu’il soit exigé de la part du responsable de traitement une vigilance particulière sur la sécurité la confidentialité (article 34 de loi de 1978 modifiée), mais ce sont désormais tous les grands principes de la loi de 1978 et de la Loi pour une république Numérique (volet données personnelles) qui sont examinés par les cabinets d’avocats d’entreprises qui cherchent à contribuer à ce que leurs clients respectent les obligations imposées par le RGPD pour la date butoir du 25 mai 2018.
La raison de ce que l’on peut qualifier (à tort) d’excès de zèle est donc assez simple.
Le responsable de traitement est conscient, eu égard à la chaîne de responsabilité mise en place dans le RGPD, qu’on pourrait lui reprocher :
- d’avoir signé des contrats d’adhésion (cf. non négociable) avec ses sous-traitants qui ne prévoient pas la mise en place de garanties essentielles et ce d’autant plus si un dommage survient concernant lesdites données ;
- de ne pas avoir tenté de les mettre à jour pour intégrer ces exigences ;
- de ne pas avoir acté, en cas de refus de donner des réponses satisfaisantes ou de modifier des conventions incomplètes, le fait de changer de prestataire au moment où il a constaté les lacunes de son sous-traitant.
Le responsable de traitement ne peut désormais faire autrement que de s’enquérir auprès de son sous-traitant de son niveau de conformité au droit des données à caractère personnel afin de tenter de ne pas avoir à endosser une responsabilité conjointe dont il ne serait pourtant pas, à proprement parler, le responsable direct.
Par un effet boule de neige, et en raison du fait que ce même sous-traitant a bien souvent lui-même des sous-traitants qui contribuent à gérer ses propres données en tant que responsable de traitement, il n’y a pas besoin d’être devin pour imaginer que mise à part les entreprises technologiques incontournables et bien souvent imperméables à toute forme de pression, toutes les entreprises contactées en ce sens ces dernières semaines se conformeront à marche forcée et bien avant la date butoir du 25 mai 2018 à un niveau d’exigence proche de celui qui sera attendu à la date précitée, et ce à mesure que leur parviendront des mises en demeure d’apporter des précisions sur leur niveau de conformité à la loi de 1978 ainsi que d’ores et déjà au regard du RGPD et/ou des demandes de mise à jour de leurs contrats.
En imposant un partage de responsabilités entre sous-traitants et responsables de traitement, le RGPD a, en quelque sorte, divisé…pour mieux se voir appliquer.
A bon entendeur…
