Non, les éditeurs ne sont pas soumis au Privacy by Design !

Par Christophe CHAMPOUSSIN • Gérant ANAXIA CONSEIL • 17 septembre 2017 • LinkedIn

Si l’on entend ou lit parfois que les nouveaux principes dit de Responsabilité (Accountability), Protection des données dès la conception (Privacy by Design) et Protection des données par défaut (Privacy by Default) introduits par le RGPD sont applicables aux éditeurs, ce n’est pas le cas (sauf bien sûr pour leurs propres traitements internes, comme tout organisme).


Il suffit de lire les articles 24 et 25 pour s’en convaincre :

Article 24 : Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

Article 25 : Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

Nulle notion d’éditeur, ni même de sous-traitant (ce qu’un éditeur n’est pas « de fait »).

En revanche, il est clair que, ne serait-ce que d’un point de vue commercial, tout éditeur se doit d’effectuer les développements permettant à ses clients le respect de la réglementation sur les données à caractère personnel (purges, gestion des habilitations, …). Mais c’est la logique commerciale qui le leur impose, pas le RGPD.

De la même manière, un éditeur n’est pas « de fait » ou « par nature » un sous-traitant au sens du RGPD.

Rappelons la définition du sous-traitant (article 4) : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

  • Lorsqu’un éditeur effectue sur la base de données / l’applicatif (contenant des données à caractère personnel bien sûr) d’un client une opération de maintenance, alors OUI il est sous-traitant.

  • Lorsqu’un éditeur héberge les données de ses clients, alors OUI il est sous-traitant, mais pas en tant qu’éditeur, simplement du fait qu’il est hébergeur.

  • Mais lorsqu(un éditeur fournit un produit que le client va installer sur serveurs, NON il n’est PAS sous-traitant.

Lorsque vous utilisez Word sur votre poste et que votre document contient des données à caractère personnel (courriers clients par exemple) , cela ne fait pas de Microsoft un sous-traitant de votre traitement de gestion de la clientèle !

Retour à la liste des articles
Anaxia Conseil

Contactez-nous

Pour toute demande, merci d'utiliser notre page de contact

© Anaxia Conseil 2024 - Mentions Légales - Données Personnelles

Adresse

400 Avenue Roumanille
Village Greenside • BP 309
06906 SOPHIA ANTIPOLIS Cedex

Merci !

Votre demande nous a bien été envoyée

Merci !

Votre demande nous a bien été envoyée

Je poursuis ma visite