Actualités

Location de matériel IT et RGPD : Quid des responsabilités

22/05/2018

La date se rapproche chaque jour un peu plus : à moins d’un mois de l’entrée en vigueur du Règlement Européen pour la Protection des Données, les articles fleurissent sur le sujet et chacun y va de sa méthode pour proposer son aide aux entreprises qui n’ont toujours pas pensé à leur mise en conformité.

Nous ne vous proposerons donc pas un n-ième avis sur la question mais plutôt un autre angle de vue puisqu’un pan du sujet n’a pas, ou peu, été évoqué : la location de matériel informatique.

Quelles sont donc les responsabilités de chacun dans ce cas bien précis et comment CSI Leasing peut vous aider à être en conformité, voici les réponses que nous vous apportons.

Qui est responsable des données sur les machines louées ?

La réponse est simple : il appartient à l’entreprise locataire des machines de se mettre en conformité avec le RGPD pour les données présentes sur les matériels loués. « Qu’il s’agisse de matériel ou de logiciel, l’utilisateur des dispositifs a les mêmes obligations que pour les autres machines de son parc informatique : s’il n’est pas propriétaire de la machine il l’est cependant des informations qui sont dessus », confirme Me Alexandra Barberis, avocat au Barreau de Marseille et membre fondateur de la commission Legal’In’Tech sur Aix-Marseille

Le propriétaire a quant à lui ses obligations de RGPD classique. « Il se peut toutefois qu’il y ait des conditions particulières dans le cas où le loueur mettrait à disposition de ses clients un service supplémentaire faisant intervenir des numéros de série reliés à a des adresses IP »,

Tous les équipements ne doivent comporter aucune donnée récupérable d’aucun ordre sur tous les device pouvant en avoir contenu. Donc pendant l’usage normal c’est l’utilisateur qui a la responsabilité des données.

Le cas de figure est en fait le même que pour les données dans le cloud : c’est le producteur des données qui a la responsabilité de faire appliquer le RGPD.

Effacement des données : ceinture et bretelles chez le loueur

Mais les loueurs ont conscience que certaines entreprises ne font, au mieux qu’un reformatage des disques, au pire qu’un effacement données (ce qui, dans un cas comme dans l’autre ne supprime rien). C’est pourquoi CSI Leasing utilise le logiciel BLANCCHO qui certifie l’effacement des données en attribuant un certificat par numéro de série.

CSI Leasing a même pris le parti d’aller un cran plus loin pour éviter tout problème : parce que certaines sociétés pourraient estimer que retourner les équipements en fin du contrat jusqu’à l’entrepôt présente un risque tout au long du transport, le loueur propose un service d’effacement des données sur le site du client pour éviter tout vol pendant le transport.

Ces deux services ne sont en rien une obligation pour le loueur. Juste deux services complémentaires qui peuvent éviter, notamment, le cas de figure suivant : l’utilisation des données, par le client suivant (voire le loueur lui-même !), et ce même si dans ce cas, client initial comme voleur sont en tort.

CSI Leasing a longuement travaillé sur ce sujet : n’hésitez pas à nous contacter pour davantage d’information.