Discussion :

[grib1903]

Bonjour,
je travaille pour une petite commune qui a commandé un site web à un indépendant qui l'a effectué sous wordpress.
Nous avons notre propre hébergeur et domaine.
Ce prestataire ne nous a pas fourni de contrat mais juste des devis et factures pour la conception et les plugin.
Il nous refuse l'accès à la création de sauvegarde ainsi qu'aux plugins.
En fait, je ne peux que rédiger, or comme c'est pour une commune, il y a des données personnelles donc RGPD.

Donc, est-ce légal (pas de contrat et pas d'accès aux plugins achetés et pas d'accès à la sauvegarde).
Si ça ne l'est pas, quels sont les articles qui le confirment ?

Merci d'avance pour les réponses.

[mathieu]

un devis est un contrat qui lie la commune au prestataire au moment au la commune a accepté le devis.

par contre le fait de garder le client captif est une technique qui donnait déjà une mauvaise réputation au prestataire il y a 10 ans donc je pense que votre prestataire est un peu en retard sur son temps.

l'avantage pour vous de ne rien gérer est que le prestataire va devoir s'occuper de toutes les parties techniques : la gestion de l'hébergement, les mises à jour, les sauvegardes, les traitement des données personnels dans le cadre du RGPD. mais vu comment il fonctionne, j'ai l'impression que c'est difficile de lui faire confiance sur tous ces points donc il vaut mieux avoir un document écrit du prestataire qui indique qu'il s'occupe de tout cela.
sans ce document écrit, je pense que la seule obligation légale c'est qu'il doit répondre aux demande des données personnelles des utilisateurs mais il peut le faire directement avec l'utilisateur qui en fait la demande sans donner ces informations à la commune.

[grib1903]

après vos réflexions, j'ai décidé de mener l'enquête.. de pire en pire... le devis et la facture n'avaient pas les mêmes intitulés.... recherche du propriétaire du N° de compte, il s'avère que c'est une autre société située dans un autre territoire et que l'on ne connaît pas, mais qui recueille nos données sans notre aval, , on lui dit ce qu'on a découvert, qu'on est soumis au rgpd (qu'elle ne semble pas connaître) et qu'elle doit remplir et contrat et cahier des charges...je lui demande de mettre SON numéro de compte, on représente une commune donc obligations, cnil, rgpd et dpo
ce qu'elle accepte momentanément, on lui demande de signer une décharge de maintenance et sauvegarde (qu'elle accepte) elle refuse de signer comme quoi on est libre d'utiliser le Template, soit, par contre via devis signés auparavant, on achète des plugins, multilangage wordpress et plugin elementor pro divi.
on lui a donc signé cette décharge de maintenance du site ainsi que de sa sauvegarde, ce qu'elle a accepté, mais elle dit que ces plugins qu'on a payés via devis, ne pourront pas être restitués , vu qu'on ne veut pas de sa maintenance, on lui demandait alors les licences.. est-ce normal, ou doit o intervenir de façon judiciaire, ce qu'on trouve lamentable.
ça sent la magouille financière, mais on veut juste récupérer ce pour quoi on a payé.
que me conseillez-vous ?

[Escapetiger]

Attention ! En tant que donneur d'ordre / responsable de traitement, vous-vous exposez également à des risques juridiques en cas de défaillance, erreur, etc. de votre prestataire de service / sous-traitant :

https://wpchannel.com/wordpress/wordpress-rgpd/
WordPress & RGPD : la loi et le code

Par Élise Guilhaudis avocate expérimentée,experte en droit du numérique, protection des données personnelles et droit des contrats (dixit sur son site)
...

Les sous-traitants, comme les responsables de traitement, doivent respecter le RGPD. La CNIL propose des fiches pratiques et un guide pour accompagner la conformité, de la signature du contrat à la prestation.

Source : Travailler avec un sous-traitant - CNIL

CNIL (Commission Nationale de l'Informatique et des Libertés)

&

« Parce qu’il est indispensable, dans toute opération d’externalisation, de faire appel à des prestataires qui s’engagent sur la sécurité, l’ANSSI propose un guide de l’externalisation qui vous aidera à maîtriser les aspects de sécurité dans les marchés d’infogérance.

Les entreprises et les administrations peuvent choisir de confier à un tiers tout ou partie d’une activité qui pourrait être réalisée en interne. Dans le domaine des systèmes d’information (SI), cette externalisation est appelée infogérance.
Ces prestations peuvent induire, en fonction du contexte dans lequel elles sont réalisées, des risques pour le système d’information comme pour les données (intégrité, disponibilité, confidentialité).

On identifie trois grands domaines de risques (plus d’informations à l’intérieur) :

• la perte de maîtrise du système d’information ;
• les interventions à distance ;
• l’hébergement mutualisé.

Pour autant, externalisation et sécurité des systèmes d’information ne doivent pas être opposées, et le recours à un prestataire est même souhaitable lorsque les compétences en interne sont absentes ou insuffisantes.
Le guide propose une démarche pour apprécier les risques et fixer les exigences qu’appelle votre contexte, afin de garantir la sécurité de votre système d’information et des données qu’il traite. Il s’appuie pour cela sur le plan d’assurance sécurité et fournit des clauses types permettant d’obtenir du prestataire des engagements contractuels. »

Source : Externalisation et sécurité des systèmes d’information : un guide pour maîtriser les risques | Agence nationale de la sécurité des systèmes d'information