voir ici l’IAPD des Pays-Bas sur ce sujet pour Microsoft Office 365, § 16.2.4 Microsoft does not act as a data processor
Encore une fois, je pense que tu généralises un cas particulier sans que ça ne me paraisse très clair que ce soit vraiment généralisable. Dans la partie 5, l'IAPD fait valoir de nombreux arguments pour justifier que Microsoft n'est pas qu'un data contractor :
le contrat est fait avec Microsoft Corporation (entreprise américaine) et les données personnelles sont envoyées aux États-Unis
Microsoft fait appel à plus de 100 sous-traitants et le client n'a aucun droit de regard sur ces sous-traitants
Microsoft ne fournit pas de copies de ses contrats avec ses sous-traitants
Microsoft a refusé au client un droit d'audit sur l'utilisation des données personnelles
Microsoft n'a pas de documentation exhaustive sur le type des données personnelles utilisées
Microsoft s'autorise à rajouter des finalités (sous réserve qu'elles soient compatibles avec le traitement des données de diagnostic)
etc.
Globalement, ce qui ressort, c'est que Microsoft empêche son client de pouvoir jouer son rôle de contrôle, et que du coup, il ne peut pas être qualifié de data processor. Mais je ne pense pas que l'on puisse étendre ça à tous les SaaS.
mais le texte est clair : c’est bien finalité OU moyens
Le point 331 dit pourtant :
En outre, on considère généralement que la définition des finalités du traitement l'emporte sur celle des moyens lorsqu'il s'agit d'établir la responsabilité d'une organisation.
[^] # Re: Jurisprudence pour l’obligation d’auto-hébergement ?
Posté par Bruno Michel (site web personnel) . En réponse au journal Une surprenante décision de la justice belge. Évalué à 4.
Encore une fois, je pense que tu généralises un cas particulier sans que ça ne me paraisse très clair que ce soit vraiment généralisable. Dans la partie 5, l'IAPD fait valoir de nombreux arguments pour justifier que Microsoft n'est pas qu'un data contractor :
Globalement, ce qui ressort, c'est que Microsoft empêche son client de pouvoir jouer son rôle de contrôle, et que du coup, il ne peut pas être qualifié de data processor. Mais je ne pense pas que l'on puisse étendre ça à tous les SaaS.
Le point 331 dit pourtant :