Editeurs de logiciels et contractualisation RGPD : à prendre ou à laisser ?

Comme souvent avec le RGPD, tout le monde pense aux GAFAM (Google Apple Facebook Amazon Microsoft), mais le déséquilibre entre responsables des traitements et éditeurs de logiciels data processors (sous-traitants) touche aussi de plus petits acteurs qui opèrent dans des niches métiers.

Editeurs et DPA : à prendre ou à laisser

Par exemple, une fois qu’un cabinet médical a adopté un logiciel de gestion des dossiers patients, il ne va pas en changer du jour au lendemain car il lui faudrait migrer sur la nouvelle solution tous les dossiers patients, la connecter avec les divers systèmes tiers (solution de prise de rendez-vous, gestion des feuilles de soin électroniques, récupération des ordonnances etc.), former les équipes au nouveau logiciel…

Le problème, c’est qu’une fois le contrat signé, ces éditeurs refusent obstinément de changer ne serait-ce qu’une ligne de la contractualisation sur les traitements de données personnelles (appelées aussi DPA pour Data Processing Agreement), souvent incluses en annexe des Conditions Générales de Ventes.

Ça ne serait pas trop grave si les DPA imposés par les éditeurs offraient des conditions équitables (et licites) pour les responsables de traitements.

Malheureusement ce n’est pas toujours le cas: le déséquilibre entre responsable des traitements et éditeurs de logiciels métiers se retrouve dans les DPA imposés par ces derniers.

D’abord par une description très évasives des traitements qui leurs sont confiés, comme “le sous-traitant est autorisé à effectuer des traitements de données personnelles pour le compte du responsable des traitements” : mais quid des finalités, des personnes concernées, des données personnelles, des durées de conservations, des destinataires etc.?

Laisser une telle formulation laisse toute latitude au sous-traitant pour définir de son côté les moyens et finalités du responsable des traitements, ce qui est bien sûr contraire à l’esprit et à la lettre du RGPD.

Ensuite cela se retrouve dans l’absence d’informations détaillées sur les études d’impact (AIPD) qui ont été réalisées quand elles sont nécessaires : le responsable des traitements doit parfois se contenter d’un “nous avons fait les AIPD sur les traitements que vous nous avez confié et il en résulte un risque résiduel négligeable pour les personnes concernées”. Et c’est tout.

Mais alors, comment le responsable des traitements peut-il faire lui-même ses propres AIPD sur ces traitements, sans avoir la connaissance des tenants et aboutissants des AIPD réalisées par son sous-traitant (menaces, sources de risques etc.)? Le responsable des traitements a-t-il dans ce cas des garanties suffisantes pour s’assurer que l’éditeur répond bien aux exigences du RGPD? On peut en douter.

Enfin cela se retrouve aussi par des audits du responsable des traitements souvent considérés comme un dérangement des équipes du sous-traitant, et dont il faudra par conséquent indemniser l’éditeur proportionnellement à ce dérangement : autrement dit si jamais vous voulez vous assurer de ces garanties suffisantes quand les informations qui vous sont transmises sont lacunaires, il va falloir y mettre le prix.

Le seul moment où le responsable est en position de force par rapport à l’éditeur, c’est AVANT la signature du contrat : c’est donc à ce moment qu’il faut évoquer les problématiques RGPD et négocier les conditions de la sous-traitance des données personnelles, car au final les différents logiciels offrent peu ou prou les mêmes fonctionnalités… Et ces aspects contractuels peuvent faire la différence!

C’est d’ailleurs un bon test de maturité de l’éditeur sur sa façon d’appréhender la sécurisation des données personnelles que vous allez lui confier, et plus généralement la qualité de la relation commerciale qui va suivre.

Si vous avez besoin besoin d’être accompagné sur ces problématiques de DPA, c’est par ici.

Written on October 9, 2020