Rupture de contrat avec un client: Procédure concernant les données personnelles.

Article 28

3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

  • g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et
  • h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Procédure:

  1. Il faut authentifier l’interlocuteur et vérifier qu’il est investi du pouvoir: important de mettre en place une procédure d’authentification pour établir avec certitude l’identité et la qualité du demandeur.
  2. Obtenir une demande officielle de: “mettre un terme à la prestation de services relatifs au traitement” au sens de l’article 28.3.g du RGPD et à toute  “cooperation between the parties” au sens du DPA (Term and termination).
  3. Obtenir (avec tracking…) le choix du client concernant le sort des données personnelles:
    1. détruire toutes les données à caractère personnel
    2. renvoyer*1 toutes les données à caractère personnel au responsable de traitement ou (délai? quand? comment? a qui (un tiers)? format*3)
    3. renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement*2
  4. Aplliquer les mêmes obligations à nos propres sous-traitants et partenaires et en apporter la preuve (SDS, Peter)
  5. Prouver en documentant l’ensemble de la procédure incluant la preuve de la transmission puis de l’intégrité des données transmises (comment? en demandant au client de confirmer? cela il ne le fera pas. En revanche en lui indiquant un délai de réclamation de l’intégrité très précis, au dela duquel les données sont détruites.
  6. Il faut aider le client à pouvoir répondre à des demandes ultérieures de guests qui lui seraient adresées: en mettant à disposition la possibilité de nous adresser une requête et demande d’attestation de la destruction des données ayant pu le concerner selon hotel et date.

Est-il possible d’anonymiser ces données sans l’autorisation du client et de les commercialiser?

  • *1 Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information
  • *2 Préciser qu’il n’y a pas de clause de reversibilité, nous refusons tout accompagnement de la repise du service vers un tiers, ni la continuité du service pendant la migration et nous ne supportons aucun coût.
  • *3 Analogie avec le droit de la portabilité: S’il n’y a aucun format d’usage courant dans un secteur, il est recommandé de fournir les données dans un format ouvert, communément utilisé (XML, JSON, CVS…), assortis de métadonnées utiles au meilleur niveau de granularité possible, tout en maintenant un niveau d’abstraction élevé. Les métadonnées doivent être suffisantes mais ne pas conduire à une violation du secret des affaires. Puisque la transmission des données doit se faire dans un format en vigueur dans le secteur, autant définir ce format et même donner deux options directement dans le DPA afin de clore tout risque de litige lors de la rupture de relation, le DPA ayant déjà été signé à la clôture du contrat (normalement très facilement).
    • Voir page 14 de la CNIL ICI: ) Destruction et/ou restitution des données
      [Le modèle de clause suivant peut être utilisé que le prestataire soit sous-traitant ouresponsable conjoint du traitement]
      « Au terme du Contrat ou en cas de rupture anticipée de ce dernier pour quelque cause que ce soit, le Prestataire et ses éventuels sous-contractants restitueront sans délai au Client une copie de l’intégralité des Données dans le même format que celui utilisé par le Client pour communiquer les Données au Prestataire ou à défaut, dans un format structuré et couramment utilisé. Cette restitution sera constatée par procès-verbal de restitution daté et signé par les Parties. Une fois la restitution effectuée, le Prestataire détruira les copies des Données détenues dans ses systèmes informatiques dans un délai raisonnable et devra en apporter la preuve au Client dans un délai raisonnable suivant la signature du procès-verbal de restitution. »

Rappeler à la livraison des données la responsabilité qui pèse sur le receveur concernant une breach et que nous ne détenons plus de données et que nous n’avons plus de données et ne sommes plus liés.