Pourquoi mon prestataire pourrait ne pas être responsable en cas de faille de sécurité concernant les données personnelles qu’il gère pour moi

RGPD / Par
Une faille de sécurité est une violation de données à caractère personnel entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée de données. Il s’agit d’une vulnérabilité dans un système d’information.

Il pourrait être aisé de croire que votre prestataire informatique, sous-traitant également directement responsable auprès de la CNIL, vous doit nécessairement des dommages-intérêts en cas de faille de sécurité concernant des données personnelles qu’il gère pour votre compte, étant donné certaines obligations qui lui incombent (devoir d’information, de conseil, mise en garde, etc.) et le plus souvent les compétences techniques qui lui sont propres. Ceci étant, cela n’est pas toujours le cas ! Il convient d’être particulièrement vigilant lors de la conclusion de contrats informatiques, notamment aux clauses limitatives de responsabilité de vos prestataires qui peuvent réduire leur responsabilité dans certaines situations, vous empêchant de réclamer des dommages-intérêts supérieurs à un plafond prévu.

Avant tout, il est prudent de :

# veiller à ce que votre prestataire ait un niveau adéquat de protection avant d’envisager la conclusion d’un contrat mais qu’il soit également solvable en vérifiant par exemple, son niveau d’assurance pour que vous puissiez garantir un dédommagement en cas de litige. Pour cela, il est recommandé de réaliser des audits de sécurité avant l’utilisation de la solution technique mise à disposition par votre prestataire.

# négocier avec soin les clauses limitatives de responsabilité : le % de cette responsabilité doit être décidé en fonction des risques encourus.

# garder une vigilance accrue sur le type d’obligations prévues dans vos contrats : de moyens, de résultat, de moyens renforcée, qui altèrent le degré de responsabilité en fonction notamment du vocabulaire prévu. Il est aussi important, par exemple, d’encadrer l’accès dont dispose votre prestataire à certaines données, ce qui peut minimiser parfois l’impact d’une faille de sécurité.

 

Les équipes MIIP – MADE IN IP restent à votre disposition pour échanger à ce sujet et notamment vous aider dans vos démarches de rédaction et négociations contractuelles.

 

Diana CUNHA LOPES – Juriste en Propriété Industrielle