Vous êtes dans : Accueil > Tribunes libres >

RGPD ou l’art de croire au père Noël

Cédric Cartau , MARDI 13 NOVEMBRE 2018 Soyez le premier à réagirSoyez le premier à réagir

La société « Foutoir Informatique  » – n’insistez pas, je garantis toujours l’anonymat de mes sources – envoie à ses clients un avenant RGPD. Normal, me direz-vous, il s’agit là de l’un des points à régler afin de déterminer qui est responsable de quoi au sein d’un traitement dont le client est en principe RT (responsable de traitement) et le fournisseur ST (sous-traitant).

Sauf que, dans le cas présent, l’avenant comporte une clause de trois lignes, que je vous livre in extenso :
« En conséquence de la mise en conformité du progiciel, ainsi que des prestations de maintenance associées, avec le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (règlement général sur la protection des données), le prestataire procède à une augmentation de prix de 4 % des prestations de maintenance. »

Je passe sur le fait que les révisions de prix sont contraintes dans le cadre d’un marché public aux clauses de révision stipulées dans les documents marché. On pourrait à la rigueur penser que c’est de bonne guerre et que cela fait partie de la négociation commerciale (à ceci près que négociation il n’y a pas eu et que l’avenant, tel quel nous avons reçu, mais passons). Sauf que je ne suis pas d’accord, parce que ce matin je ne me suis pas levé avec pour ambition de devenir le dindon de la farce du repas de quiconque.

Je trouve piquant de considérer que les frais de mise en conformité devraient forcément être répercutés sur le client. Le jour où Foutoir Informatique sera soumis à un contrôle d’hygiène à la suite duquel il devra remplacer tous les rouleaux d’essuie-mains de ses toilettes, j’ose espérer que mon établissement ne recevra pas la note. Certes, l’on m’objectera que les toilettes ne font pas partie des éléments qui contribuent directement à délivrer le service – quoique les mains sales, ça n’aide pas à taper sur les claviers –, mais j’aurais pu prendre l’exemple d’une modification du contrôle technique des véhicules de service qui permettent aux techniciens du fournisseur d’intervenir dans nos murs, le raisonnement aurait été le même : pas question de payer.

En fait, lorsque les coûts de délivrance d’un service augmentent, il n’y a que deux solutions : soit les répercuter sur le client, soit faire des économies internes pour les absorber, ou toute combinaison de ces deux options. Le problème de la première, c’est qu’elle suppose que le client pourra lui aussi répercuter ladite augmentation de coût sur ses propres clients, et là, j’ai une mauvaise nouvelle pour tous les fournisseurs : la T2A n’a pas pris en compte les coûts du RGPD, l’établissement de santé ne facturera donc rien de plus (et à celui qui suggérera que l’hôpital fasse des économies internes pour absorber le surcoût du fournisseur, je le maudis sur sept générations et que l’enfer le pétrifie mille fois). L’autre solution, la seule valable à mon sens, c’est que chaque entreprise réalise des économies d’échelle pour absorber les surcoûts d’origine réglementaire.

Mais, en creusant un peu, une autre question se pose : en dehors de l’absorption du surcoût, qu’est-ce que justifierait une augmentation des frais du fournisseur (et aussi, par conséquent, du client que nous sommes) ? La rédaction dudit avenant ? Allons donc, Foutoir Informatique a fait comme moi, il l’a intégralement pompé sur le modèle de la Cnil (très bien formulé du reste). La nomination d’un DPO ? Il fallait bien avoir un CIL avant, non ? La prise en compte du Privacy by Design ? Ah bon, ce n’était pas déjà le cas ? Je suis inquiet tout d’un coup ! (ai-je dit que le fournisseur dont il est question officie dans un domaine qui manipule forcément de la donnée personnelle ? je ne me souviens plus). À bien y réfléchir, la modification du contrat ressemble à s’y méprendre à une tentative de bullshitage version Premium.

La seule solution pour le client : ne pas signer l’avenant, et envoyer le sien (en recommandé avec AR de préférence, on pourra toujours dire à la Cnil que c’est Foutoir Informatique qui n’a pas voulu signer). Au fait, je signale que pour l’instruction n° 309, la directive NIS, le RGS, la certification des comptes et j’en passe, inutile de vouloir nous prendre pour des dindons en tentant d’augmenter le prix de la maintenance !

Tiens, il me vient une subtile et démoniaque idée : et si, dans l’avenant qu’on enverra à Grand Foutoir, on insérait une clause qui stipule que le montant du contrat de maintenance baisse de 4 % pour que nous – le client – nous puissions absorber nos coûts internes de conformité au RGPD en les reportant sur le fournisseur ?

RGPD, cnil