Mon compte Devenir membre Newsletters

Contrats fournisseurs: la protection des données personnelles renforcée par le RGPD

Publié le par

Entré en vigueur en mai dernier, le Règlement général sur la protection des données impose de nouvelles règles en matière de gestion des données personnelles. Avec l'obligation pour les entreprises de se mettre en conformité avant mai 2018. Ce qui implique une modification des contrats fournisseurs.

Contrats fournisseurs: la protection des données personnelles renforcée par le RGPD

Le Règlement général sur la protection des données (RGPD) du 27 avril 2016 est paru au JO le 4 mai 2016. Afin d'accompagner les entreprises dans sa mise en oeuvre, Elegia Formation a organisé le 6 décembre 2016 une conférence sur le sujet, animée par Sylvain Staub et Thomas Beaugrand, avocats chez Staub & Associés, Clémence Scottez, chef de service des affaires économiques du CNIL, et Bruno Teboul, senior vice-président science & innovation du groupe Keyrus. Focus (non exhaustif!) sur quelques questions abordées dans le cadre de cette conférence.

Qui est concerné?

Le RGPD s'applique "au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier." Ce règlement s'applique à toute structure (responsable de traitement des données ou sous-traitant)

  • ayant un établissement dans l'Union européenne
  • ou bien proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l'Union européenne. Les actions de profilage visant cette cible sont également concernées.

Ainsi, alors que la loi Informatique et libertés se basait sur des critères d'établissement et de moyens de traitement, le règlement européen 16-679 introduit la notion de ciblage: le critère principal d'application est désormais le traitement des données d'une personne se trouvant au sein de l'UE.

Qu'est-ce qu'une donnée à caractère personnel?

L'une des difficultés posées par le RGPD va consister à définir les données personnelles concernées. Le règlement stipule qu'il s'agit de "toute information concernant une personne physique identifiée ou identifiable", directement ou indirectement. Des données indirectement identifiantes, telles qu'un numéro de téléphone, ou un identifiant, sont donc concernées. De même, les données comportementales collectées sur Internet (notamment recueillies dans le cadre d'actions marketing de profilage), si elles sont corrélées à une identité, deviennent des données à caractère personnel. Selon le traitement appliqué aux données, des informations non identifiantes peuvent ainsi devenir identifiantes, par croisement des informations collectées.

Quelles obligations pour les entreprises?

La loi Informatique et libertés se basait sur du déclaratif initial et des contrôles ponctuels. Le nouveau règlement européen remplace cette obligation de déclaration par une obligation de prouver à chaque moment que l'entreprise protège les données. Dès lors, la structuration même des outils permettant la collecte des données (CRM, DMP, solutions de tracking ou de géolocalisation...), mais aussi les contrats passés avec les fournisseurs et clients sont impactés (voir encadré ci-dessous). "Le règlement couple des notions techniques et juridiques", souligne Thomas Beaugrand, avocat au sein du cabinet Staub & Associés. Il introduit des nouveaux principes et concepts qui renvoient désormais vers plus de précautions techniques.

Par ailleurs, les entreprises ont, entre autres, l'obligation de donner la finalité précise de la collecte des données (il s'agit du principe de minimisation, un des grands principes de la dataprotection, qui impose que seules les données nécessaires à la finalité poursuivie pourront être collectées). Le GRPD impose également le principe de conservation limitée des données, ainsi que celui de coresponsabilité des sous-traitants et des entreprises en matière de protection de la data, qui permet de distribuer les responsabilité en fonction de la mainmise de chacun sur les données.

Cette notion de coresponsabilité doit être intégrée dès maintenant dans les contrats passés avec les fournisseurs: en effet, le sous-traitant désigné par une organisation pour assurer le traitement des données devient, avec le RGPD, coresponsable de la légalité des traitements. Il sera donc tenu d'informer ses clients et de tenir des registres pour recenser les données, ainsi que d'accepter les audits demandés par son client pour s'assurer de la conformité des traitements. Les sous-traitants concernés peuvent être, par exemple, l'éditeur d'un CRM en ligne, le routeur d'une campagne d'e-mailing, un service de relation client, etc. Le responsable du traitement, de son côté, doit s'assurer que ses fournisseurs ont pris les mesures nécessaires pour assurer la sécurité des données.

Enfin, parmi les changements majeurs, la nomination d'un DPO, ou délégué à la protection des données, qui sera obligatoire dans tout le secteur public, ainsi que dans les structures privées qui font des traitements de données exigeant un suivi régulier et systématique des personnes à grande échelle (dans le secteur du marketing, notamment). Il sera le garant de la conformité au règlement.

Quel impact sur les contrats fournisseurs?

Pour se mettre en conformité avec le RGPD, les directeurs achats devront veiller à renforcer les contrats passés avec leur fournisseurs. Le cabinet Staub & Associés recommande notamment de stipuler désormais:
  • Les finalités précises du traitement
  • L'objet et la durée de conservation des données personnelles
  • La typologie des données collectées et des personnes concernées
  • Les droits du sous-traitant et les obligations du responsable de traitement
  • Les engagements du sous-traitants en matière de reproduction des mentions d'information, de fourniture et d'entretien d'une documentation précise des mesures de protection
  • L'exigence de coopération entre les parties et avec la Cnil
  • Les modalités de notification des failles de sécurité
  • L'entretien des dispositifs internes du prestataire permettant d'attester en tout temps de la protection structurelle
  • Les mesures d'urgence en cas de fuite de données et/ou de non-conformité du dispositif aux niveaux convenus

>> Lire la suite en page 2