Le RGPD (ou Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai 2018. Dans de nombreuses entreprises, cette nouveauté a sonné le glas d’une prise de conscience sur la protection des données personnelles. Face à la complexification de l’informatique, ce règlement permet une mise à jour de la loi Informatique et Libertés du 6 janvier 1978. Dans le cadre du travail avec vos prestataires de services informatiques et dans le respect du RGPD, qui est responsable des données hébergées ? Réponse dans cet article
Les prestataires de services informatiques : des sous-traitants de données personnelles
Les entreprises collectent de très nombreuses informations dont certaines sont potentiellement sensibles. La question de la responsabilité des données hébergées existe depuis longtemps et d’autant plus depuis l’entrée en vigueur du RGPD. Si la théorie est plutôt simple à comprendre, la pratique ne prend pas en compte toute la diversité des situations que l’on peut rencontrer.
En théorie, on distingue ceux qui sont responsables des traitements informatiques et les sous-traitants. Les premiers décident de la collecte des données. Les seconds quant à eux procèdent à des opérations de traitement des données sans les avoir collectées au préalable. Néanmoins, la réalité est un peu plus complexe. En effet, les frontières entre ces deux types d’intervenants peuvent parfois se brouiller. C’est notamment le cas d’une entreprise qui héberge matériellement des données personnelles sans y avoir accès. Dans ce cas, est-elle sous-traitante ?
Selon la Cnil (Commission nationale de l’informatique et des libertés), les prestataires de services informatiques sont considérés comme des sous-traitants, dans la mesure où ils ont accès aux données personnelles. Il en va de même des intégrateurs de logiciels. Aujourd’hui, l’importance de se conformer aux dispositions du RGPD est crucial pour les entreprises. Absys vous conseille et vous accompagne au mieux en vue de la mise en conformité de votre structure avec la loi et le RGPD.
Sous-traitant : devoir de transparence, de sécurité et d’intégrité des données
Le sous-traitant est tenu à des obligations dans le traitement des données. Au besoin, il est nécessaire de contractualiser les responsabilités de chaque acteur. C’est utile pour avoir une idée précise des obligations partagées. Au demeurant, le RGPD instaure un devoir de transparence, notamment dans le cas d’une sous-traitance en cascade. Chaque sous-traitant, prestataire informatique notamment, est donc tenu à un devoir de transparence vis-à-vis de son client par rapport à la gestion des données. Ce dernier doit obtenir l’autorisation écrite préalable du responsable de traitement avant de sous-traiter à son tour.
De même, l’hébergeur web ou tout autre prestataire doit garantir la sécurité, la confidentialité totale et l’intégrité des données informatiques qui lui sont confiées. Pour y parvenir, il met en œuvre l’ensemble des mesures à sa disposition, tant organisationnelles que techniques. Plus concrètement, cela signifie que les données sont conservées sur des serveurs entièrement sécurisés. Ces serveurs sont conçus pour éviter tout risque de pertes de données ou d’altération dans le cas d’un incident technique.
L’hébergement des données informatiques ne doit donc pas être laissé au hasard. Youtell propose un hébergement de données et d’applications de qualité à La Réunion. C’est essentiel pour l’optimisation de votre entreprise, la sécurité de vos données personnelles et une sauvegarde sans aucune faille.