RGPD : Contrats et mentions obligatoires
Comment concilier le Droit des personnes à protéger leurs données personnelles et la liberté d’entreprendre l’exploitation de ces mêmes données ? Tel est l’enjeu social, économique et juridique que tente de relever le législateur européen en adoptant le RGPD.
Plus de vingt ans après les premières normes communautaires en la matière, la mutation des usages et des technologies numériques a conduit à actualiser, sinon révolutionner, la politique générale de protection des données. On assiste en effet à la mise en place d’un nouveau régime juridique que le Conseil d’Etat a qualifié de « renversement complet de logiques antérieures ». (CE, Avis du 7 décembre 2017 sur un projet de loi d’adaptation au droit de l’Union européenne de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés). Cette inversion se perçoit en particulier à travers le prisme des obligations du responsable de traitement et des sous-traitants en matière de en matière de traitement des données personnelles et de leur protection.
L'inversion des logiques
Alors qu’il revenait au législateur de définir les risques d’atteinte aux droits et libertés fondamentaux, il apparait désormais qu’il n’y a pas d’intervenant mieux placé que le responsable de traitement pour mesurer l’atteinte aux droits et libertés fondamentaux et évaluer la sécurité et gestion des failles. Aussi le législateur européen a-t-il mis à la charge de celui-ci de nouvelles obligations, tendant notamment à la tenue de registres ou à l’analyse d’impact. Portée à son paroxysme, la logique vaut pour l’ensemble des intervenants de la chaîne contractuelle.
La dimension contractuelle de la protection
A l’ère de la mondialisation des échanges et des flux transfrontières de données, le législateur européen ne pouvait ignorer la place des sous-traitants. Ainsi, dans son Considérant 81, le RGPD aborde-t-il la question des garanties que le donneur d’ordre doit exiger de celui-ci en vue de satisfaire au nouveau cadre juridique européen. Plus précisément, ces exigences doivent être scellées par la conclusion d’un contrat et mentions obligatoires relatives à l’objet, à la durée de conservation et purge, aux finalités, à la nature du traitement ou encore au type de données à caractère personnel et aux catégories de personnes concernées.
Tisser le lien contractuel entre le donneur d’ordre et le sous-traitant, c’est donner naissance à des obligations réciproques, lesquelles aux termes de l’art. 1103 du code civil « tiennent lieu de loi ». Une approche intéressante sur le chemin du respect des libertés et droits fondamentaux permettant de pallier d’éventuels manquements, mais qui représente aussi un défi majeur pour le responsable de traitement. Il lui incombe de mettre en conformité le contrat de sous-traitance, afin d’assurer notamment un maintien en condition opérationnelle. Il va sans dire que, dans cette perspective, les actions de formation et sensibilisation joueront un rôle essentiel.
Votre numéro de téléphone est uniquement utilisé pour nous permettre de vous rappeler. Pour en savoir plus sur la gestion de vos données dans le cadre de la gestion du suivi de notre relation précontractuelle et contractuelle, ainsi que sur vos droits, vous pouvez consulter notre politique de confidentialité.
Notre service client est à votre écoute via notre formulaire ou par téléphone :
