Beaucoup d'hébergeurs et de personnes qui utilisent des services d'hébergement n'ont pas encore abordé en détail les réglementations légales. Dès que les services d'un hébergeur sont utilisés, il peut être nécessaire de conclure un accord écrit. Cela est particulièrement vrai si les exigences de l'article 11 de la BDSG sont respectées. Le règlement légal stipule que lors de l'externalisation du traitement des données à caractère personnel, certains contenus doivent être convenus et consignés par écrit. Nous vous informerons du contenu de l'accord et des conséquences possibles en cas de non-respect.
§ 11 BDSG - L'hébergement de sites web n'est partiellement possible qu'avec un accord écrit
L'hébergement de sites web est désormais proposé par de nombreux fournisseurs de services. Souvent, quelques clics suffisent pour télécharger un blog, un site web ou une boutique en ligne WordPress. La plupart des hébergeurs ne savent pas que l'hébergement de sites web nécessite un accord écrit avec l'utilisateur si des données personnelles sont traitées lors de la commande. Ceci est prescrit par le § 11 BDSG (loi fédérale sur la protection des données). Avec l'hébergement web, l'utilisateur dispose d'un espace de stockage sur un serveur web mis à disposition par un fournisseur. L'éventail des services va de la simple mise à disposition de ressources à des services polyvalents tels que la sauvegarde des données, le suivi et les évaluations statistiques. Si les services fournis sont liés au stockage et au traitement de données à caractère personnel, des accords écrits doivent être conclus. Cela s'applique en particulier s'il s'agit d'un traitement de données sur commande. On entend par là l'externalisation du traitement des données. L'hébergeur est toujours lié par les instructions du client, c'est-à-dire qu'il n'a aucune marge de décision ou d'évaluation concernant les données transmises.
Le contenu du § 11 BDSG (loi fédérale sur la protection des données)
Le § 11 I BDSG stipule que le client est responsable du respect des dispositions de la BDSG. Le client doit notamment s'assurer que l'hébergeur respecte la BDSG lors du traitement des données personnelles. En cas de dommage, celui-ci doit être supporté par le client. Les coûts peuvent être récupérés auprès de l'hébergeur en guise de compensation. Le § 11 II BDSG stipule que le contractant (l'hébergeur) doit sélectionner avec soin toutes les mesures sur le plan technique et organisationnel. Par la suite, il est précisé que la loi impose que la commande soit exclusivement passée par écrit. Dans le Contrat les points suivants sont à noter :
- Objet et durée du contrat
- Portée, finalité et nature de la collecte, du traitement et de l'utilisation des données à caractère personnel
- Nature des données et cercle des personnes concernées
- Les mesures organisationnelles et techniques à prendre conformément au § 9 BDSG
- Mesures de verrouillage, d'effacement et de rectification des données
- Les obligations du contractant, par exemple les inspections (définies au § 11 IV BDSG)
- Toute autorisation d'employer des sous-traitants
- Détention des droits de contrôle du client
- Obligations du contractant en matière de tolérance et de coopération
- Obligations de notification du contractant et de ses sous-traitants en cas de violation des règles de protection en ce qui concerne
données relatives aux personnes
- Étendue du pouvoir du client de donner des instructions au contractant (hôte web)
- La suppression des données après l'exécution de la commande et la restitution des supports de données fournis
Dans le cas des organismes publics, un accord peut être conclu avec l'autorité de contrôle technique. Avant d'externaliser le traitement des données, cette autorité doit s'informer sur les normes techniques et organisationnelles et les vérifier régulièrement. Les résultats doivent être enregistrés. § L'article 11 de la loi fédérale sur la protection des données stipule que le contractant, c'est-à-dire l'hébergeur, doit informer le client immédiatement dès que les instructions du client violent, à son avis, les lois sur la protection des données. La question de la culpabilité se pose pour les personnes qui utilisent les services d'hébergeurs. Après tout, il est caractéristique du traitement de données sur commande que l'obligation de respecter les dispositions légales continue de reposer sur l'utilisateur et non sur l'hébergeur, même si ce dernier effectue le traitement des données à caractère personnel. L'obligation de diligence intervient déjà avant la commande : Les utilisateurs sont obligés de se convaincre des qualités techniques de leur futur hébergeur. Ce devoir de diligence s'applique également pendant la relation contractuelle. L'exigence la plus importante reste que l'ordre de traitement des données doit être donné par écrit. Un accord écrit présuppose que l'hébergeur et l'utilisateur signent le contrat. L'envoi d'un formulaire en ligne ou d'une commande par courrier électronique ne suffit pas. En outre, l'accord doit contenir les points mentionnés ci-dessus (dix exigences) afin que l'accord réponde aux exigences de l'article 11 de la loi fédérale sur la protection des données.
Le BDSG en relation avec l'hébergement web
La question de savoir si l'hébergement web implique un traitement de données sur commande conformément à l'article 11 de la BDSG et si un accord écrit est effectivement nécessaire est jugée différemment. Certains juristes sont d'avis que le traitement de données sur commande est toujours présent si l'espace mémoire et la puissance informatique sont revendiqués par un tiers. Par conséquent, l'hébergement de sites web implique toujours un traitement de données sur commande. Le raisonnement est que le contrôle physique des données crée des possibilités considérables d'influencer le traitement des données. Selon ce point de vue, le traitement des données sur commande est toujours donné lorsque les systèmes de traitement des données peuvent être influencés. Cela est d'autant plus vrai si l'hébergeur prend en charge les tâches de surveillance et de maintenance. D'autres juristes supposent que le traitement des données commandées n'existe pas encore dans ces cas. Si les clients ont besoin d'un espace de stockage chez un hébergeur, ils louent simplement des systèmes de traitement de données externes. L'utilisateur décide quels programmes sont installés et quelles données personnelles sont stockées. La deuxième vue n'accepte le traitement des données d'une commande que si l'hébergeur web effectue des sauvegardes et les conserve. Les autorités de contrôle de la protection des données en Allemagne acceptent le traitement des données commandées lorsqu'une boutique en ligne est hébergée. Après tout, des données personnelles sont stockées dans chaque boutique en ligne.
Réglementation européenne sur le traitement des données sur commande
Comme nous l'avons déjà expliqué, un accord écrit pour l'hébergement de sites web est toujours nécessaire si un traitement de données est commandé à l'hébergeur. La directive sur la protection des données (directive 95/46/CE) couvre un groupe appelé "sous-traitants". L'organe consultatif indépendant de l'Union européenne, le "Groupe de travail Article 29", a commenté le rôle des hébergeurs de sites web : "Les hébergeurs de sites web sont des processeurs de données personnelles publiées sur Internet par leurs clients". Pour les hébergeurs de sites web, il est extrêmement important que leurs services soient considérés comme un traitement de données sur commande. Les conséquences d'une infraction peuvent aller jusqu'à des sanctions pénales et civiles. Les hébergeurs de sites web devraient accorder à leurs clients l'accès à leurs centres de données en cas de traitement de données commandé, afin qu'ils puissent se faire une idée des mesures organisationnelles et techniques. Il n'est donc guère surprenant que la plupart des hébergeurs ne se considèrent pas comme des sous-traitants de données mandatés au sens de l'article 11 de la BDSG. Les violations de la BDSG peuvent être sanctionnées par l'autorité de contrôle de la protection des données conformément au § 43 I n° 2b i.V.m. § 43 III BDSG avec une amende pouvant aller jusqu'à 50 000 euros. La question de savoir si l'hébergement web constitue un traitement de données sur commande ne peut actuellement être clarifiée à 100 %. Étant donné que divers avis existent dans la littérature, mais que la jurisprudence ne s'est pas encore prononcée à ce sujet, la conclusion des services d'hébergement web dans le domaine potentiel du traitement des données commandées est actuellement une zone d'ombre juridique. Depuis que les exploitants de boutiques en ligne dont la boutique est hébergée par des hébergeurs hôte Si les personnes concernées susceptibles d'être affectées par le traitement de données à caractère personnel sous contrat ne sont pas en mesure de connaître les évolutions juridiques, elles doivent les suivre en permanence. Les hébergeurs de sites web qui veulent être sûrs doivent obtenir des contrats types pour le traitement des données commandées afin de pouvoir montrer quelque chose en cas de doute. Les clients doivent contacter leur hébergeur en cas d'incertitude et demander conseil dans des cas particuliers.