En janvier de cette année, la
CNIL (Commission Nationale de l’Informatique et des Libertés) a prononcé une
sanction à l’encontre de la société DARTY pour « ne pas avoir suffisamment sécurisé les données de clients ayant
effectué une demande en ligne de service après-vente » après avoir
constaté, dès 2017, « un incident de sécurité concernant le traitement des demandes de
service après-vente des clients de la société ETABLISSEMENTS DARTY ET
FILS ».
Or, la CNIL a relevé que le
formulaire de demande de service après-vente, à l’origine du défaut de
sécurité, avait été développé par un prestataire extérieur… C’est-à-dire un
fournisseur de prestation de service.
Cet exemple entre à merveille
dans le cadre de ce que la nouvelle RGPD (Règlementation sur la Protection des
Données Personnelles) propose dès le 25 mai de cette année. En effet, la RGPD
introduit dans le domaine une notion de « coresponsabilité » entre
sous-traitants et donneurs d’ordres : si « un
fournisseur ou sous-traitant manque à ses obligations (de sécurisation des
données), il pourra être poursuivi au
même titre que le responsable du traitement » détaille Maître RICOUARD-MAILLET
dans un article paru dans « Le
journal des entreprises n°370 d’avril 2018 ». Dans notre exemple, le
fournisseur de la prestation de service aurait donc été sanctionné, au même
titre que son donneur d’ordre DARTY.
Cette nouvelle règlementation
pose un nouveau risque juridique pour lequel les acheteurs sont en première
ligne. Dans l’article en question, Maître RICOUARD-MAILLET suggère ainsi « la nécessité pour le donneur d’ordres
de revoir ses contrats avec fournisseurs et sous-traitants » en y « intégrant des clauses rappelant les
nouvelles obligations avec ses fournisseurs et sous-traitants ».
S’agissant de bon sens, je
m’associe pleinement à cette préconisation.
Aucun commentaire:
Enregistrer un commentaire