§ 11 BDSG - L'hébergement de sites web ne peut être possible qu'avec un accord écrit

Beaucoup d'hébergeurs et de personnes qui utilisent des services d'hébergement n'ont pas encore abordé en détail les réglementations légales. Dès que les services d'un hébergeur sont utilisés, il peut être nécessaire de conclure un accord écrit. Cela est particulièrement vrai si les exigences de l'article 11 de la BDSG sont respectées. Le règlement légal stipule que lors de l'externalisation du traitement des données à caractère personnel, certains contenus doivent être convenus et consignés par écrit. Nous vous informerons du contenu de l'accord et des conséquences possibles en cas de non-respect.

§ 11 BDSG - L'hébergement de sites web n'est partiellement possible qu'avec un accord écrit

L'hébergement de sites web est désormais proposé par de nombreux fournisseurs de services. Souvent, quelques clics suffisent pour télécharger un blog, un site web ou une boutique en ligne WordPress. La plupart des hébergeurs ne savent pas que l'hébergement de sites web nécessite un accord écrit avec l'utilisateur si des données personnelles sont traitées lors de la commande. Ceci est prescrit par le § 11 BDSG (loi fédérale sur la protection des données). Avec l'hébergement web, l'utilisateur dispose d'un espace de stockage sur un serveur web mis à disposition par un fournisseur. L'éventail des services va de la simple mise à disposition de ressources à des services polyvalents tels que la sauvegarde des données, le suivi et les évaluations statistiques. Si les services fournis sont liés au stockage et au traitement de données à caractère personnel, des accords écrits doivent être conclus. Cela s'applique en particulier s'il s'agit d'un traitement de données sur commande. On entend par là l'externalisation du traitement des données. L'hébergeur est toujours lié par les instructions du client, c'est-à-dire qu'il n'a aucune marge de décision ou d'évaluation concernant les données transmises.

Le contenu du § 11 BDSG (loi fédérale sur la protection des données)

Le § 11 I BDSG stipule que le client est responsable du respect des dispositions de la BDSG. Il doit notamment s'assurer que l'hébergeur respecte la BDSG lors du traitement des données à caractère personnel. En cas de dommage, celui-ci doit être supporté par le client. Les coûts peuvent être récupérés auprès de l'hébergeur par le biais d'une compensation. Le § 11 II BDSG stipule que le contractant (l'hébergeur) doit sélectionner avec soin toutes les mesures au niveau technique et organisationnel. Il est ensuite expliqué que la loi stipule que la commande doit être passée exclusivement par écrit. Les points suivants doivent être consignés dans le contrat :

- Objet et durée du contrat
- Portée, finalité et nature de la collecte, du traitement et de l'utilisation des données à caractère personnel
- Nature des données et cercle des personnes concernées
- Les mesures organisationnelles et techniques à prendre conformément au § 9 BDSG
- Mesures de verrouillage, d'effacement et de rectification des données
- Les obligations du contractant, par exemple les inspections (définies au § 11 IV BDSG)
- Toute autorisation d'employer des sous-traitants
- Détention des droits de contrôle du client
- Obligations du contractant en matière de tolérance et de coopération
- Obligations de notification du contractant et de ses sous-traitants en cas de violation des règles de protection en ce qui concerne
données relatives aux personnes
- Étendue du pouvoir du client de donner des instructions au contractant (hôte web)
- La suppression des données après l'exécution de la commande et la restitution des supports de données fournis

Dans le cas des organismes publics, un accord peut être conclu avec l'autorité de contrôle technique. Avant d'externaliser le traitement des données, cette autorité doit s'informer sur les normes techniques et organisationnelles et les vérifier régulièrement. Les résultats doivent être enregistrés. § L'article 11 de la loi fédérale sur la protection des données stipule que le contractant, c'est-à-dire l'hébergeur, doit informer le client immédiatement dès que les instructions du client violent, à son avis, les lois sur la protection des données. La question de la culpabilité se pose pour les personnes qui utilisent les services d'hébergeurs. Après tout, il est caractéristique du traitement de données sur commande que l'obligation de respecter les dispositions légales continue de reposer sur l'utilisateur et non sur l'hébergeur, même si ce dernier effectue le traitement des données à caractère personnel. L'obligation de diligence intervient déjà avant la commande : Les utilisateurs sont obligés de se convaincre des qualités techniques de leur futur hébergeur. Ce devoir de diligence s'applique également pendant la relation contractuelle. L'exigence la plus importante reste que l'ordre de traitement des données doit être donné par écrit. Un accord écrit présuppose que l'hébergeur et l'utilisateur signent le contrat. L'envoi d'un formulaire en ligne ou d'une commande par courrier électronique ne suffit pas. En outre, l'accord doit contenir les points mentionnés ci-dessus (dix exigences) afin que l'accord réponde aux exigences de l'article 11 de la loi fédérale sur la protection des données.

Le BDSG en relation avec l'hébergement web

La question de savoir si l'hébergement web implique un traitement de données sur commande conformément à l'article 11 de la BDSG et si un accord écrit est effectivement nécessaire est jugée différemment. Certains juristes sont d'avis que le traitement de données sur commande est toujours présent si l'espace mémoire et la puissance informatique sont revendiqués par un tiers. Par conséquent, l'hébergement de sites web implique toujours un traitement de données sur commande. Le raisonnement est que le contrôle physique des données crée des possibilités considérables d'influencer le traitement des données. Selon ce point de vue, le traitement des données sur commande est toujours donné lorsque les systèmes de traitement des données peuvent être influencés. Cela est d'autant plus vrai si l'hébergeur prend en charge les tâches de surveillance et de maintenance. D'autres juristes supposent que le traitement des données commandées n'existe pas encore dans ces cas. Si les clients ont besoin d'un espace de stockage chez un hébergeur, ils louent simplement des systèmes de traitement de données externes. L'utilisateur décide quels programmes sont installés et quelles données personnelles sont stockées. La deuxième vue n'accepte le traitement des données d'une commande que si l'hébergeur web effectue des sauvegardes et les conserve. Les autorités de contrôle de la protection des données en Allemagne acceptent le traitement des données commandées lorsqu'une boutique en ligne est hébergée. Après tout, des données personnelles sont stockées dans chaque boutique en ligne.

Réglementation européenne sur le traitement des données sur commande

Comme déjà expliqué, un accord écrit pour l'hébergement web est toujours nécessaire si l'hébergeur web traite des données pour le compte du client. La directive sur la protection des données (RL 95/46/CE) couvre un groupe appelé "sous-traitants". L'organe consultatif indépendant de l'Union européenne, le "Groupe de travail Article 29 sur la protection des données", a commenté le rôle des hébergeurs : "Les hébergeurs sont les responsables du traitement des données personnelles publiées sur Internet par leurs clients". Pour les hébergeurs, il est extrêmement important que leurs services soient considérés comme un traitement de données pour le compte de leurs clients. Les conséquences d'une violation peuvent être de grande envergure, notamment en matière de droit pénal et civil. Dans le cas d'un traitement de données sur commande, les hébergeurs devraient accorder à leurs clients l'accès à leurs centres de calcul afin qu'ils puissent se faire une idée des mesures organisationnelles et techniques. Il n'est donc pas surprenant que la plupart des hébergeurs ne se considèrent pas comme des sous-traitants de données mandatés au sens de l'article 11 de la BDSG. Les violations de la BDSG peuvent être examinées par l'autorité de contrôle de la protection des données conformément au § 43 I n° 2b en liaison avec § 43 III BDSG avec une amende pouvant aller jusqu'à 50 000 euros. La question de savoir si l'hébergement web constitue un traitement de données sur commande ne peut être clarifiée à 100 % à l'heure actuelle. Étant donné que les opinions divergent dans la littérature, mais que les tribunaux n'ont encore rendu aucun jugement à cet égard, la conclusion des services d'hébergement web dans le domaine potentiel du traitement des données commandées est actuellement une zone d'ombre juridique. Étant donné que les exploitants de boutiques en ligne dont la boutique est hébergée par des hébergeurs ont tendance à être affectés par le traitement des données commandées, ils devraient garder un œil permanent sur l'évolution de la législation. Les hébergeurs qui veulent être sûrs doivent obtenir des modèles de contrats pour le traitement des données commandées afin de pouvoir montrer quelque chose en cas de doute. Les clients doivent contacter leur hébergeur en cas d'incertitude et demander conseil dans des cas particuliers.

Veuillez diviser la contribution
Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur pinterest
Partager sur whatsapp
Partager sur telegram
Derniers messages

Vidéos recommandées de notre chaîne Youtube