Impact dans le choix de ses prestataires utilisant des données personnelles

Impact dans le choix de ses prestataires utilisant des données personnelles

La mise en application de la RGPD en 2018 au niveau européen consiste à harmoniser - et durcir suite à de nombreux abus - la législation concernant la manipulation de données personnelles de toute personne interagissant avec votre structure. 

Cela a par conséquent un impact fort sur différents éléments :
- sur la façon dont vous manipulez vos "fichiers" public ;
- sur la manière dont vous interagissez avec votre fichier (nous avions écrit un dossier des bonnes pratiques lors de sa mise en place que vous pouvez consulter en cliquant sur ce lien ) ;
- mais aussi sur le choix de vos prestataires / fournisseurs travaillant avec ces données.

Etre "conforme"


On pourrait écrire pendant des heures de toutes les subtilités de la règlementation, mais pour être dans les clous aujourd'hui, il faut notamment :
  1. prouver que l'on ne fait que des usages autorisés, notamment que l'utilisation que l'on en fait est possible légalement par un impératif métier (ce que l'on appelle l'intérêt légitime, par exemple le fait de demander le nom d'une personne pour un abonnement nominatif ou la vérification d'identité lors d'un paiement en ligne) ou par l'obtention d'un consentement explicite de la personne (par exemple la case à cocher en bas d'un formulaire autorisant explicitement cela). Que ce consentement, lorsqu'il est donc nécessaire, est renouvelé périodiquement (le consentement d'un contact qui n'a pas interagit depuis plusieurs années avec vous, n'est plus valide)
  2. prouver que le stockage des données est sécurisé, avec des règles strictes quant à son utilisation et l'accès aux serveurs, tout en permettant aux personnes dont les données sont stockées de les supprimer si elles le souhaitent
  3. prouver que les lois auxquelles vous êtes soumis sont compatibles avec la RGPD (ce qui est évident en France et en Union Européenne, mais pas forcément à l'étranger)
  4. s'assurer que les prestataires qui stockent et/ou peuvent avoir accès à la donnée, sont conformes, tout comme vous à la RGPD

Ce dernier point a des impacts non négligeables sur le choix de vos prestataires

En effet, pour être conformes, vos prestataires ont à leur tour la même liste de points à respecter.  Et s'ils peuvent mettre en œuvre des pratiques et usages conformes aux deux premiers points (usages autorisés + stockage de données), le troisième point ne dépend pas de ce qu'ils font mais de là où ils sont basés !

En cela, plusieurs cas :
  1. S'ils sont basés dans l'Union Européenne, ils sont soumis aux mêmes règles que vous. S'ils sont consciencieux, ils vous fourniront toute la documentation nécessaire, avec les traitements de la donnée qu'ils exécutent, et sont "garants" de leurs propres sous traitants s'ils en ont.
  2. S'ils sont basés dans un des pays avec qui l'Union Européenne a mis en place une décision d'adéquation. Il s'agit d'un accord légitimant les échanges de données en reconnaissant que la législation du pays est équivalente (il y a moins d'une dizaine de pays concernés : la liste ici), c'est la même chose, il "suffit" de vous assurer que leurs règles de gestion de la donnée sont conformes de la même manières à s'ils étaient dans l'Union Européenne et se basent bien sur l'accord concerné.
  3. S'ils sont basés dans un autre pays, vous devez à la fois vous assurer que le contrat qui vous lie avec eux contient bien les "clauses contractuelles types" prévues par l'Union Européenne mais de vous assurer vous que l'évolution de la législation de leur pays n'empêche pas une bonne application de la RGPD (car vous en devenez "garant" vis à vis de vos propres utilisateurs).

La fin du Privacy Shield !

En 2016, un accord a été trouvé entre l'Union Européenne et les Etats Unis pour considérer les règlementations relatives aux données personnelles comme "équivalentes" avec quelques arrangements à prévoir dans les contrats. Cet accord avait pour nom le Privacy Shield.

Le 16 juillet 2020, l'accord a été annulé suite à une action en justice qui a fait date et qui a mis des prestataires du monde entier dans l'embarras. Instantanément, la plupart des échanges de données personnelles entre Europe et USA - basés sur ce Privacy Shield - sont devenus illicites ! Dans certains cas, certains sous traitants basés aux USA ont trouvé des parades pour essayer de passer outre ce qui n'est pas compatible avec les lois européenne dans la législation américaine (choix dans localisation des serveurs de données en UE, ouverture d'une filiale autonome en UE, ...). Mais parfois ces parades jouent avec les mots (ouverture d'une simple boite postale sans activité réelle et la contractualisation reste aux USA) ou pire interprètent la loi à leur sauce pour avoir le sentiment d'être dans les clous ...

Surtout, cette annulation a créé un précédent historique en montrant que travailler avec des prestataires soumis à une législation différente en terme de protection des données personnelles peut avoir des implications importantes (notamment devoir changer très rapidement de fournisseur si celui ci n'arrive pas à trouver de parades à la législation changeante). Y compris quand il s'agit d'un pays "occidental" (et donc avec a priori une histoire, des enjeux et une maturité vis à vis de ces questions similaires à l'Europe) ... et qui avait jusque là un accord expliquant que les législations étaient comparables ! Ce dernier point est rappelé dans cet arrêt du 16 juillet 2020 de la Cour de Justice de l'Union Européenne (dit "Schrems II") qui précise qu'il incombe à l'exportateur et à l'importateur de données d'évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT.

Evidemment, des grands groupes peuvent se permettre de faire cet audit législatif permanent (car changeant potentiellement chaque jour !) nécessaire pour être serein (souvent à l'aide de cabinets d'audit certifiant et se portant garant pour la certification ainsi donnée, contre espèces sonnantes et trébuchantes évidemment ...). 

Mais à la suite de cette décision, de nombreuses entreprises, collectivités, universités, ... ont émis le souhait de ne plus travailler avec des opérateurs basés hors UE dès que sont en jeu des données personnelles pour éviter un risque juridique relatif à ces législations changeantes, et ne pas avoir à assurer cette "veille" contractuelle et législative. On a ainsi vu par exemple de nombreux centres d'appel ou d'assistance "offshore" être rapatriés de pays hors de l'UE vers des pays de l'UE (en Bulgarie notamment) pour ces mêmes raisons. Ou encore le choix de nombreuses collectivités de se détourner d'outils collaboratif comme Zoom (US) au profit de Teams (opéré par Microsoft France et des serveurs basés en France).

A noter également que suite au Brexit le 1er janvier 2021, de nombreux prestataires basés au Royaume Uni ne sont plus "automatiquement" compatibles à la RGPD puisque les lois du Royaume Uni ne sont plus automatiquement soumises à celles de l'Union Européenne ... on peut espérer pour eux qu'une décision d'adéquation soit mise ne place s'ils ne changent pas trop leur législation en la matière ... mais ce n'est pas encore le cas !

Et vos prestataires ?

Nous nous sommes longuement entretenus avec des "spécialistes" de la RGPD au sein de collectivités ou d'universités à la pointe sur le sujet, à la fois pour être nous même dans les clous (dans le choix de nos propres prestataires) mais aussi pour comprendre les enjeux pour les organisateurs qui nous questionnent souvent à ce sujet. 

En résumé :
  1. La solution la plus simple reste de ne pas travailler avec des prestataires non UE dès que cela a trait aux données personnelles. Il est en effet probablement possible de rendre cela légitime "aujourd'hui" dans de nombreux cas mais il y a toujours un risque que "demain" ce ne soit plus le cas.
  2. Quand il n'existe pas d'équivalent en UE d'un fournisseur / sous traitant, et faute d'avoir les moyens de faire un suivi juridique poussé, mieux vaut essayer d'anonymiser les données envoyées à ses prestataires non UE. Cela n'est pas toujours possible (notamment si on fait de l'emailing, il est difficile de ne pas envoyer l'adresse email qui est évidemment une donnée personnelle !) et dans ce cas là, il faut avoir en tête qu'un "risque juridique" peut exister.

Chez Mapado, fidèle à notre esprit d'ouverture, nous vous laissons cependant le choix de votre stratégie en la matière si vous souhaitez ou non prendre le risque et la responsabilité de travailler avec des solutions hors UE car ce sont les solutions que vous préférez à l'usage. Nous avons également des utilisateurs non UE qui ne sont pas soumis à la RGPD.

Par exemple, vous pouvez choisir de connecter votre CRM Mapado vers les solutions d'emailing Mailchimp (basé aux USA) mais aussi vers Mailjet ou vers Sendinblue appelé Brevo maintenant (tous deux basés en France).

... et les prestataires de Mapado ?

Nous faisons en sorte que nos usages soient conformes avec la RGPD évidemment, et sommes basés à Lyon donc en Union Européenne. Pour notre propre conformité, reste donc à voir si nos propres sous traitants ou prestataires sont conformes !

Pour ne pas représenter nous même un "risque juridique" (en particulier si vous avez une politique prudente en la matière), sachez que nous avons décidé de nous appliquer à nous même cette recherche d'une solution "simple" et donc basé en UE dès lors qu'il y a des données personnelles en jeu.

Ainsi suite à l'invalidation du Privacy Shield, nous avons rapidement mis en place des chantiers importants sur le sujet, soit en anonymisant les échanges de données avec nos prestataires / sous traitant ... soit en changeant nos solutions non basée dans l'Union Européenne quand ce n'était pas le cas !

Nous faisions déjà appel principalement à des fournisseurs basés en UE (l'hébergement de notre plateforme est chez OVHCloud et Scaleway, tous deux basés en France par exemple) mais nous avons donc migré l'envoi des emails transactionnels de Mailgun (USA) vers Brevo (ex Sendinblue, France), déplacé l'hébergement de nos sauvegardes hors France de Dropbox (USA) vers Hetzner (Allemagne) ou encore changé nos outils d'assistance de HiverHQ et Elastic Inc (USA) vers Zoho BV (Pays Bas).