A la suite d’une décision de sanction publiée le 19 décembre 2024 sur son site Internet, la CNIL rappelle que la société qui commande un logiciel est le responsable du traitement des données traitées par le logiciel.
Ainsi, ce n’est donc pas la société qui vend le logiciel qui encourt une responsabilité en cas de non-conformité de son logiciel au Règlement général sur la protection des données « RGPD » mais bien l’entreprise cliente. En effet, le prestataire n’est qu’un sous-traitant qui agit selon les instructions de la société cliente.
Dans cette affaire, le contrôle de la CNIL a impliqué une TPE qui avait installé un logiciel de suivi de l'activité des salariés en télétravail.
Le logiciel était installé sous deux versions, la première, dite " interactive ", sur les ordinateurs personnels des employés, nécessitant une activation et une désactivation manuelle par ces derniers pendant leur temps de travail et de pause, et la seconde, dite " silencieuse ", installée sur les ordinateurs fournis par la société, pour laquelle l’activation et la désactivation étaient automatiques lors du démarrage et de l’arrêt des ordinateurs.
Dans sa décision de sanction, la CNIL a considéré que les traitements de ces données étaient disproportionnés au regard des intérêts et droits fondamentaux des salariés au respect de leur vie privée.
C’est bien la société cliente, en sa qualité de responsable de traitement, qui a été sanctionnée pour avoir installé le logiciel, et non la société qui édite le logiciel. Or, cette dernière met en avant sur son site Internet un logo « GDPR compliance » sur la conformité de son logiciel au RGPD. Ce type de logo que l’on peut retrouver sur les sites Internet de prestataires ne sont pas délivrés par la CNIL et n’ont donc aucune valeur juridique. De même, la CNIL ne délivre plus de labels aux entreprises depuis l’entrée en vigueur du RGPD le 25 mai 2018, et seules les entreprises listées sur le site de la CNIL disposent d’un label restant valable jusqu’à sa date d’expiration. Ainsi, les messages du type : « Label RGPD » – « 100 % conforme RGPD », ne sont pas gages de sérieux car démontrent déjà une méconnaissance des textes en vigueur.
Il faut tirer deux enseignements de cette décision :
- Les contrôles de la CNIL peuvent également porter sur des petites entreprises et des PME qui ne sont en aucun cas à l’abri d’un contrôle inopiné ou de sanctions,
- Il convient donc d’être vigilant sur les promesses des prestataires qui garantissent des solutions 100 % conformes et imposent leurs propres accords de protection des données, car c’est bien la société qui utilise le logiciel qui sera sanctionnée en cas de non-conformité. Le prestataire ne court donc pas de risque, sauf s’il agit en dehors des instructions écrites du responsable de traitement. La CNIL a émis un projet relatif à la certification RGPD des sous-traitants en données personnelles. Ainsi, dès que la certification sera possible, il s’agira du seul outil juridique de conformité au RGPD dont pourront se vanter les prestataires.
Pas de contribution, soyez le premier