Pourquoi les bornes interactives sont concernées par le RGPD
Le Règlement Général sur la Protection des Données s'applique à tout traitement de données personnelles concernant des personnes situées dans l'Union Européenne. Une borne interactive est concernée dès qu'elle collecte, même indirectement, des données pouvant identifier une personne : adresse email saisie pour recevoir un résultat de recherche d'emploi, numéro de carte bancaire lors d'un paiement, historique de navigation sur la borne, adresse IP de la tablette connectée, image captée si une caméra de présence est activée.
La plupart des responsables qui installent des bornes n'ont pas conscience de cette dimension. Ils supposent que la conformité RGPD est « gérée côté fournisseur ». C'est rarement aussi simple — et quand un contrôle de la CNIL intervient, c'est le responsable de traitement (vous) qui est en première ligne.
Qui est responsable de quoi ?
Le responsable de traitement : vous
En droit RGPD, le responsable de traitement est l'entité qui détermine les finalités et les moyens du traitement. Si vous installez une borne dans votre établissement, vous êtes le responsable de traitement — même si votre prestataire technique gère la borne au quotidien. Cela signifie que vous êtes juridiquement responsable de la légalité des traitements, de la sécurité des données collectées, et du respect des droits des personnes (accès, effacement, portabilité).
Le sous-traitant : votre prestataire
Votre fournisseur de borne, dès lors qu'il traite des données personnelles pour votre compte, est un sous-traitant au sens du RGPD. Il a des obligations spécifiques : vous fournir un contrat de sous-traitance conforme à l'article 28, garantir la sécurité des données hébergées, vous notifier tout incident de sécurité dans les 72 heures, et ne pas transférer vos données à des tiers sans votre accord.
Ce que vous devez exiger de votre prestataire
|
La question de l'hébergement souverain
L'hébergement souverain prend de l'importance depuis les révélations sur les pratiques des grands fournisseurs américains de cloud et l'application extraterritoriale du Cloud Act américain, qui autorise les autorités américaines à accéder à des données stockées par des entreprises américaines — y compris sur des serveurs situés en Europe.
Pour les collectivités territoriales, les établissements publics de santé et les associations collectant des données sensibles, la localisation des serveurs n'est pas un détail technique : c'est une question de conformité légale et parfois de sécurité. Un prestataire qui héberge vos données sur des serveurs en France ou dans l'UE, chez un opérateur souverain, vous offre une protection juridique nettement supérieure. Demandez-le explicitement et obtenez-le par écrit.
Les 5 questions à poser avant de signer
1. Où sont hébergées mes données ?
La réponse doit mentionner un pays (France ou UE), un opérateur (OVHcloud, Scaleway, Outscale, Clever Cloud…) et une localisation de datacenter. « Sur le cloud » ou « sur nos serveurs » ne sont pas des réponses suffisantes.
2. Quelles données la borne collecte-t-elle exactement ?
Demandez la liste exhaustive : logs de navigation, données saisies par les utilisateurs, images si caméra activée, données de paiement, adresses IP, cookies, identifiants de session. Cette liste doit correspondre à ce qui est décrit dans votre registre des traitements.
3. Disposez-vous d'un contrat de sous-traitance RGPD prêt à signer ?
Un prestataire sérieux dispose d'un DPA standard qu'il peut vous soumettre immédiatement. Un prestataire qui ne sait pas de quoi vous parlez ou qui vous demande de « ne pas s'inquiéter avec ça » est un signal d'alerte.
4. Comment puis-je exercer le droit à l'effacement d'un utilisateur ?
Si un utilisateur de votre borne demande la suppression de ses données, vous devez pouvoir le faire. Votre prestataire doit vous expliquer la procédure concrète : qui contacter, dans quel délai, avec quelle traçabilité.
5. Que se passe-t-il à la fin du contrat ?
La fin d'un contrat doit prévoir la destruction ou la restitution de toutes vos données. Demandez le délai, la méthode (effacement sécurisé certifié) et un certificat de destruction si nécessaire.
72h délai légal de notification d'un incident |
Art. 28 RGPD — obligation de contrat de sous-traitance |
100% des données Toucham hébergées en France/UE |
Ce que TouchAm met en place
La conformité RGPD pour TouchAm est une exigence de conception qui guide nos choix techniques depuis l'origine. Nos données sont hébergées sur des serveurs sécurisés en France ou en Europe, chez des opérateurs souverains. Nous disposons d'un contrat de sous-traitance standard conforme à l'article 28 du RGPD, transmissible à nos clients dès la signature du contrat commercial.
Notre équipe technique est formée à la gestion des incidents de sécurité et dispose d'une procédure de notification à 72 heures. En cas de fin de contrat, nous appliquons un protocole de destruction sécurisée des données avec remise d'un certificat au client.
Ce n'est pas parce que nous y sommes obligés — c'est parce que nos clients sont des collectivités, des associations, des PME qui nous confient des données concernant leurs usagers, leurs candidats, leurs donateurs. Cette confiance mérite une réponse à la hauteur.
Documentation RGPD disponible sur demande Contactez-nous à contact@toucham.fr pour recevoir notre contrat de sous-traitance RGPD type, notre politique de confidentialité détaillée et notre registre des traitements de référence. Ces documents sont disponibles gratuitement pour tout prospect en phase d'évaluation. |