Voici une décision d’une juridiction munichoise qui donne à réfléchir en ce qui concerne l’encadrement des fins de sous-traitance RGPD.
Le texte impose aux parties de prévoir la restitution ou l’effacement des données.
Mais au cas d’espèce, jugé le 9 février 2023 et rectifié le 14 mars suivant, le client d’un prestataire cloud s’est vu reprocher, alors que le contrat avait été résilié, de n’avoir ni modifié ses identifiants, ni effacé les données (LG München I, 14 mars 2023, n° 5 O 5853-22). Cumulés, ces deux manquements avaient débouché sur une violation de données, à la suite d’un piratage de l’hébergeur.
Etonnant, non? Une lecture rapide de l’article 28 du RGPD n’aurait-elle pas dû conduire à retenir la faute de l’hébergeur?
Si, évidemment. Mais pas exclusivement, et ce pour deux raisons.
D’une part, le RGPD rappelle expressément que la sous-traitance n’écarte pas la responsabilité du donneur d’ordre. Que le prestataire n’ait pas exécuté ses obligations ne dédouanait donc pas nécessairement le client.
D’autre part, et surtout, le juge allemand note que la seule confiance du responsable de traitement en la conformité de son sous-traitant à ses obligations légales et contractuelles est insuffisante.
D’accord, mais comment faire? Le client aurait donc pu demander un « PV de destruction des données », au terme duquel l’hébergeur aurait attesté avoir effacé les données.
Conclusion, la fin du contrat de sous-traitance n’autorise pas à cesser de se préoccuper de la sécurité des données sous-traitées.
Quelles sont vos stratégies pour garantir que les données restent sécurisées même après la fin d’un contrat ? Partagez-les en commentaires.
Des doutes quant à la sécurité des données en fin de contrat avec un prestataire ? Vous souhaitez définir les modalités de réversibilité des données ? N’hésitez pas à me contacter.